Risk Assessment e la Norma ISO 9001:2015 parte 3

Transcript

1 Risk Assessment e la Norma ISO 9001:2015 parte 3 PROMOSSO E ORGANIZZATO DA IN COLLABORAZIONE CON: 1/40

2 Risk management: collegamenti e sinergie con il Sistema Qualità Come visto nel precedente intervento, si possono già delineare con chiarezza una serie di punti fermi, di forte impatto innovativo, tra cui: identificazione di rischi ed opportunità nel contesto dell organizzazione, con conseguente loro gestione; maggiore integrazione dei requisiti del Sistema di Gestione qualità nei business processes dell organizzazione; gestione del rischio in tutti i processi aziendali; dimensionamento del SQ (documenti, indicatori, monitoraggio, ) in funzione principalmente di rischi ed opportunità dell organizzazione e dei processi. All interno di questo contesto la presenza del Risk management assume una connotazione estremamente centrale e tangibile. 2/40

3 Risk management: collegamenti e sinergie con il Sistema Qualità La globalizzazione, la riduzione dei margini, il ricorso crescente all outsourcing e lo sviluppo tecnologico hanno aggiunto incertezza, complessità e introdotto molti rischi nel modo di operare delle organizzazioni. I grandi gruppi economici e industriali considerano ormai il Risk management alla base dell analisi degli scenari e della definizione delle strategie competitive. Oggi, nelle grandi organizzazioni, il Risk management, sta gradualmente allargando il suo raggio d azione, affiancando alle tradizionali aree di gestione assicurativa e finanziaria, anche ambiti di rischio di prodotto, sostenibilità ambientale, sicurezza informatica e protezione del know-how, aspetti eticosociali (CSR) 3/40

4 Risk management: collegamenti e sinergie con il Sistema Qualità Nel project management, altresì, la valutazione dei rischi è ritenuta essenziale per la buona riuscita di progetti grandi e complessi. Diversi settori industriali inoltre, specie nel Food e nell ambito farmaceutico, stanno focalizzando la loro attenzione sulla Business Continuity, mentre l automotive, l aerospaziale e l industria impiantistica hanno sviluppato nuovi modelli di gestione basati su un massiccio ricorso dell outsourcing, specie presso paesi emergenti, aprendo così scenari di rischio, oltre che su qualità e sicurezza dei prodotti, anche su aspetti etici e sociali (CSR). Da rimarcare anche la necessità delle aziende di dotarsi di un solido modello organizzativo per la prevenzione dei rischi di reato (in Italia secondo ex Dlgs 231:2001); anche internet ha accelerato la necessità di adottare un efficace sistema di Risk management in quanto il passaparola mediatico dei reclami clienti si può rapidamente diffondere sul Web. 4/40

5 L APPROCCIO DEI PROCESSI Tradizionalmente le gestioni e i miglioramenti sono stati impostati per funzioni PROCESSO UN INSIEME DI ATTIVITÀ CHE TRASFORMANO INPUTS IN OUTPUTS CHE HANNO VALORE PER IL CLIENTE 5/40

6 Ma... l impresa genera valore e profitto attraverso i suoi processi e non mediante le sue funzioni FORNITORI SONO I PROCESSI A CREARE VALORE 6/40

7 Approccio per Processi EFFICACIA DEL PROCESSO = Capacità di raggiungere i risultati desiderati ELEMENTI IN INGRESSO (INPUT) Requisiti specificati (Include le risorse) Attività correlate o interagenti e metodi di controllo ELEMENTI IN USCITA (OUTPUT) Requisiti soddisfatti (Risultato del Processo) MONITORAGGIO E MISURAZIONE EFFICIENZA DEL PROCESSO = Risultati raggiunti rispetto alle risorse utilizzate 7/40

8 Approccio per Processi! EFFICACIA DEL PROCESSO = Capacità di raggiungere i risultati desiderati PROCESSO Attività correlate o interagenti e metodi di controllo che generano valore aggiunto per il cliente EFFICIENZA DEL PROCESSO = Risultati raggiunti rispetto alle risorse utilizzate 8/40

9 Risk management: collegamenti e sinergie con il Sistema Qualità La valutazione dei rischi va ad integrare lo schema dell analisi dei processi così come riportato nella figura seguente. L APPROCCIO PER PROCESSI (rif. ISO 9001:2015) EFFICACIA DEL PROCESSO = Capacità di raggiungere i risultati desiderati! PROCESSO Attività correlate o interagenti e metodi di controllo Risk EFFICIENZA DEL PROCESSO = Risultati raggiunti rispetto alle risorse utilizzate 9/40

10 Risk management: collegamenti e sinergie con il Sistema Qualità Rischio: effetto dell incertezza sugli obiettivi. Nota 1: un effetto è uno scostamento da quanto atteso positivo e/o negativo. Nota 2: gli obiettivi possono presentare aspetti differenti (come scopi finanziari, di salute e sicurezza, ambientali) e possono intervenire a livelli differenti (come progetti, prodotti e processi strategici, riguardanti l intera organizzazione). Nota 3: il rischio è spesso caratterizzato dal riferimento a eventi potenziali (2.17) e conseguenze (2.18), o da una combinazione di essi. Nota 4: il rischio è spesso espresso in termini di combinazione delle conseguenze di un evento (compresi cambiamenti nelle circostanze) e dalla verosimiglianza (2.19) del suo verificarsi. Nota 5: l incertezza è lo stato, anche parziale, di assenza di informazioni relative alla comprensione o conoscenza di un evento, delle sue conseguenze o della loro verosimiglianza. [guida ISO 73:2009, definizione 1.1] 10/40

11 UNI Insieme delle possibilità che si manifesti un evento (indesiderato) e delle sue conseguenze sugli obiettivi. Rischio = f (probabilità, conseguenze) Propensione al rischio (Risk appetite) 11/40

12 Risk management: collegamenti e sinergie con il Sistema Qualità Rischi di origine naturale: terremoti; inondazioni; tempeste; grandine; gelo. Rischi di origine tecnica e tecnologica: incendi; esplosioni; scoppi; guasti; prodotti difettosi. Rischi personali: malattie; infortuni; malattie professionali; rapimenti. 12/40

13 Risk management: collegamenti e sinergie con il Sistema Qualità Rischi di origine sociale: atti vandalici e dolosi; sabotaggio; scioperi; negligenze; furti; rapine; infedeltà dei dipendenti; spionaggio industriale; sottrazione di informazioni riservate; danno reputazionale. Rischi di origine politica: guerre; espropri; nazionalizzazioni; terrorismo. 13/40

14 Risk management: collegamenti e sinergie con il Sistema Qualità Rischi di origine economico-finanziaria: rischi di fornitura; perdite pecuniarie perdite su cambi; insolvenza dei clienti. 14/40

15 RISCHIO vs. OPPORTUNITA! Area di rischio inaccettabile 15/40

16 CRITERI DI VALUTAZIONE DEL RISCHIO! 16/40

17 I processi di risk management, così come descritto nella norma ISO 31000:2010 (più volte richiamata nella ISO 9001:2015) prevedono un tipico approccio PDCA basato su:! 1. Stabilire il contesto 2. Identificare i rischi 3. Analizzare i rischi (misurare) 4. Valutare i rischi (ponderare) 5. Trattare e gestire i rischi 6. Monitorare e controllare i rischi 7. Comunicare e consultare 17/40

18 Relazioni tra i componenti della struttura di riferim. per gestire il rischio 18/40

19 Struttura di gestione PDCA ISO /40

20 Collegamenti tra le varie norme 20/40

21 Vantaggi di un efficace BCMS! 21/40

22 Esempio di Business continuity radar 22/40

23 Supplier risk analysis 23/40

24 Matrice rischi di fornitura VH Supplier Risk H M L L M H VH Product Risk 24/40

25 Supply chain risk management Lo standard internazionale ISO fissa i requisiti di sistema per la gestione della sicurezza lungo l intera catena di fornitura, prendendo in considerazione anche minacce quali il terrorismo, la frode, la contraffazione e la pirateria. L ISO rappresenta la cornice ideale per identificare e controllare le potenziali criticità per persone o merci e limitarne le possibili conseguenze. Tra gli aspetti cruciali presi in considerazione vi sono la manifattura, i processi di packaging, di immagazzinaggio, il trasferimento delle merci ma anche gli aspetti finanziari, la gestione delle informazioni e delle risorse umane. 25/40

26 Supply chain risk management In particolare è fondamentale: prevedere un controllo sulle merci, affinché ci sia una precisa coincidenza tra le merci da inviare e quelle inviate; assicurare che il carico sia accompagnato da una documentazione corretta al 100%; monitorare affinché né il carico, né la documentazione possano subire modifiche durante il tragitto; verificare che tutti i prodotti spediti raggiungano la destinazione; monitorare continuamente la disponibilità sufficiente di prodotti in magazzino; prevedere rigidi codici comportamentali a cui attenersi. La norma - trasversale ai diversi settori merceologici - si rivolge a tutti gli attori della supply chain, in particolare ai grandi gruppi della logistica, alle società di consulenza e ingegneria e più in generale a tutte le società che trattano beni e informazioni ad alto valore. 26/40

27 Supply chain risk management Benefici L implementazione di un sistema di gestione di sicurezza della filiera in base alla ISO e la relativa certificazione permettono di: migliorare la gestione delle minacce per la sicurezza (potenziali e note), la protezione degli asset e la gestione delle emergenze grazie alla promozione di un approccio organico; migliorare il controllo sulle perdite, grazie anche alla riduzione delle perdite legate ai furti; innalzare la soddisfazione e fiducia dei clienti e degli stakeholder, tra cui gli operatori doganali e le società di assicurazione; ridurre i tempi doganali e rendere più efficienti le pratiche amministrative. 27/40

28 Security management system elements 28/40

29 ISO Sistemi di gestione della sicurezza delle informazioni Principale obiettivo di un sistema di gestione per la sicurezza delle informazioni è la protezione delle informazioni gestite da un Organizzazione. Al giorno d oggi diventa fondamentale individuare le informazioni gestite all interno dell organizzazione, i rischi a cui sono sottoposte e le misure di protezione che debbono essere messe in atto per una loro adeguata protezione. Oltre alle informazioni su supporto cartaceo o informatico, vanno gestite anche le infrastrutture (computer, reti aziendali, accessi esterni sia fisici che informatici) ed il personale (senza dimenticare il know-how posseduto dallo stesso). 29/40

30 ISO Sistemi di gestione della sicurezza delle informazioni Management Review 4.6 Policy 4.2 Checking & Corrective action 4.5 Security management system Security risk Assessment & planning 4.3 Implementation & operation /40

31 Key persons risks Una persona può definirsi Key person se: svolge un attività critico-strategica per il business aziendale e è dotata di elevate competenze (intese come capacità ed esperienze) e all interno dell area in cui opera non risulta affiancato da altre persone vicine a lui come skill In tal caso diventa una risorsa critica ed un rischio per l azienda. 31/40

32 Key persons risks! 32/40

33 Esempio di project risk management Prevedere i rischi e anticiparne le conseguenze Passo 7 : Monitoraggio Passo 8 : Feed-back 33/40

34 Sistema qualità e modello organizzativo secondo D.lgs 231:2001! 34/40

35 CSR 1) Sicurezza & Qualità 4 3,5 3,0 3 2,5 5) Divulgazione delle informazioni 3,0 2 1,5 3,0 2) Diritti umani & Lavoro 1 2,7 3,5 4) Compliance 3) Ambiente 35/40

36 CRISIS MANAGEMENT Principi e linee guida da tenere presente per un efficace gestione delle crisi aziendali: La crisi non è un fatto imponderabile e non va mai sottovalutata; È necessario prepararsi quando nulla lascia prevedere (programmare per proteggersi); Tutti devono conoscere il ruolo ed i comportamenti da adottare per contribuire ad isolare l avvenimento e/o limitare i danni (procedure di allertamento e intervento); Va identificata un unità di crisi (task force) che ha il compito di gestire tutte le fasi dell evento; Dire sempre la verità; evitare le false dichiarazioni ed i no comment ; Comprendere e affrontare le preoccupazioni, le ansie e le paure dei pubblici coinvolti direttamente dalla situazione; Offrire la massima fiducia agli specialisti (avvocati e/o tecnici del settore), ma affidare i rapporti con l opinione pubblica, i clienti, i mass media ad un esperto di comunicazione (meglio se ad un esperto di comunicazione di crisi ) e centralizzare il flusso delle informazioni, sia verso l interno che verso l esterno; 36/40

37 CRISIS MANAGEMENT Principi e linee guida da tenere presente per un efficace gestione delle crisi aziendali: non cullarsi nell idea o nella speranza che la crisi termini da sola e, soprattutto, senza lasciare danni; isolare la gestione della crisi dall ordinaria amministrazione; prendere coscienza che la fine di una crisi comporta sempre una rinuncia, un assunzione di responsabilità, un accordo (meglio un sacrificio consapevole oggi che un ritorno amplificato domani); nella fase di pianificazione e di gestione assumere sempre l ipotesi peggiore; identificare ed eventualmente mobilitare potenziali alleati; quando si valutano i danni vanno considerati sia quelli economici (di mercato), che quelli all immagine e alla reputazione aziendale. 37/40

38 CRISIS MANAGEMENT (BS 11201)! 38/40

39 L IMPLEMENTAZIONE DI UN MODELLO DI RISK MANAGEMENT! 1. Determinazione: targets operativi dell organizzazione, perimetro (organizzazione, processi, prodotti, siti) 2. Analisi contesto (stakeholders, risk s appetite) 3. Per ogni rischio: Analisi del rischio (Risk Impact Analysis) determinazione, legami cause-effetti Valutazione (Risk assessment) (gravità X probabilità) Piano di controllo (Risk Control Plan) 4. Validazione: simulazioni / test 5. Monitoraggio sistema: Audit Riesame Miglioramento General Risk Assessment Risk Assessment Model 39/40

40 RISK ASSESSMENT COME INPUT PER STRUTTURARE UN EFFICACE SISTEMA QUALITÀ! 40/40