Upload
duongtuyen
View
215
Download
0
Embed Size (px)
Citation preview
RISCHI CONNESSI ALLA PIANIFICAZIONE STRATEGICA DI
UN’ORGANIZZAZIONE
E RISCHI ASSOCIATI AI SUOI PROCESSI Molteplici punti di vista intorno al rischio ( Bacile di Castiglione)
Carrellata per:
• Mettere in evidenza quali potrebbero essere gli
atteggiamenti lessicali e formali abbastanza diversi e, a
volte, contrastanti che non solo gli auditor, ma anche i
consulenti e i responsabili di un SGQ (nei rapporti con
fornitori e clienti) potrebbero incontrare;
• Cercare di definire chiaramente quali potrebbero essere
le evidenze da cercare per assicurarsi che l’approccio al
rischio dell’organizzazione auditata sia in accordo con quanto
richiesto dalla ISO 9001:2015, indipendentemente dal
significato dato ai vari termini associati al rischio . Ap22al Rischio
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Devoto Oli e Oxford English Dictionary)
• Il rischio è l’eventualità di subire un danno (più incerto di quello implicito
in pericolo); pericolo e azzardo sono considerati sinonimi di rischio.
• Opportunità: La presenza di una o più circostanze o di condizioni
appropriate o favorevoli al concretarsi di un’azione.
• Potenziali effetti negativi (minacce) e potenziali effetti positivi (opportunità)
Uno scostamento positivo risultante da un rischio può fornire
un'opportunità, ma non tutti gli effetti positivi di un rischio si traducono in
opportunità. (ISO 9001:2015 – 0.3.3)
7
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
COSO Framework 2004 ( 5 Associazioni Private : Commercialisti, ragionieri e revisori contabili)
Distinguere tra rischi e opportunità:
Gli eventi possono avere impatti negativi, positivi o entrambi.
Eventi con un impatto potenzialmente negativo rappresentano rischi,
che richiedono una valutazione ed una risposta (trattamento) da parte del
management. Il rischio, quindi, è la possibilità che un evento accada e
influenzi negativamente il raggiungimento degli obiettivi.
Eventi con un impatto potenzialmente positivo rappresentano
opportunità, o controbilanciano l’impatto negativo dei rischi.
Gli eventi che hanno il potenziale per controbilanciare l’impatto negativo
dei rischi sono presi in considerazione nella valutazione e risposta da
parte del management.!
!
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Minacce e opportunità:
I rischi positivi vengono comunemente definiti come
opportunità e quelli negativi come minacce
Opportunità. Una condizione o situazione favorevole al progetto, un
insieme di circostanze positive, un insieme di eventi positivi, un rischio
che può avere un impatto positivo sugli obiettivi del progetto, o la
possibilità di cambiamenti positivi. In antitesi a minaccia.
Minaccia . Una condizione o situazione sfavorevole al progetto,
un insieme di circostanze negative, un insieme di eventi negativi, un
rischio che può avere un impatto negativo sugli obiettivi del progetto, o la
possibilità di cambiamenti negativi. In antitesi a opportunità.
Qualcuno ha calcolato che in 140 pubblicazioni ISO si
trovano 39 differenti definizioni di rischio!
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Rischi e minacce (lato negativo – downside of risk)
Il rischio è dove minaccia e vulnerabilità si sovrappongono. Il che significa
che avremo un rischio nel momento in cui i nostri sistemi rivelano una
vulnerabilità che una data minaccia può sfruttare per attaccare e
danneggiare un asset.
Da una minaccia che non ha una corrispondente vulnerabilità non può
derivare un rischio.
La vulnerabilità è la proprietà intrinseca di un qualcosa da cui deriva una
sensibilità ad una fonte di rischio, che potrebbe comportare un evento con
una conseguenza (ISO Guide 73:2009 – 3.6.1.6)
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Upside Risk e Downside Risk:
lato positivo e lato negativo del rischio, per indicare i rischi con potenziali
conseguenze rispettivamente positive e negative.
.
sono due espressioni anglosassoni che vengono usate sempre più
spesso; probabilmente nascono dagli ambienti finanziari e degli
investimenti, ma si stanno diffondendo anche in altri ambienti
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Minaccia (threat):
causa o origine di un danno o di una perdita potenziale (UNI 11230:2007 - 3.1.2)
Fonte di potenziali non conformità, incidenti o situazioni non desiderabili,
che possono determinare perdite, danni o, in generale, detrimento per gli
individui, un sistema o un’organizzazione, l’ambiente o la comunità. È un
termine che include, ma è un concetto più ampio, altre parole con
significato simile (quali, ad esempio, pericolo, insidia o repentaglio).
Rappresenta una fonte di rischio che può portare a potenziali
conseguenze o impatti negativi
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Minaccia (threat):
causa o origine di un danno o di una perdita potenziale (UNI 11230:2007 - 3.1.2)
Fonte di potenziali non conformità, incidenti o situazioni non desiderabili,
che possono determinare perdite, danni o, in generale, detrimento per gli
individui, un sistema o un’organizzazione, l’ambiente o la comunità. È un
termine che include, ma è un concetto più ampio, altre parole con
significato simile (quali, ad esempio, pericolo, insidia o repentaglio).
Rappresenta una fonte di rischio che può portare a potenziali
conseguenze o impatti negativi
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Opportunità (opportunity):
causa o origine di un beneficio potenziale (UNI 11230:2007 - 3.1.3)
Fonte di potenziali benefici per gli individui, un sistema o
un’organizzazione, l’ambiente o la comunità.
Rappresenta fonte di rischio che può portare a potenziali conseguenze o
impatti positivi
Non esiste ancora come definizione “ufficiale”, ma è stata proposta
dall’Italia per le future edizioni della ISO 31000 e IEC/ISO 31010 (già
inserita nel CD di quest’ultima)
MOLTEPLICI PUNTI DI VISTA INTORNO AL RISCHIO
Rischio – Terminologia
(ISO 9000:2015 – 3.7.9) Rischio: effetto dell’incertezza
Nota 1 un effetto è una deviazione da quanto atteso – positivo o negativo.
Nota 2 L’incertezza è lo stato, anche parziale, di carenza di informazioni
relative alla comprensione o conoscenza di un evento, delle sue
conseguenze o della loro probabilità.
Nota 3 Il rischio è spesso caratterizzato dal riferimento a potenziali eventi e
conseguenze, o ad una loro combinazione.
Nota 4 Il rischio è frequentemente espresso in termini di combinazione delle
conseguenze di un evento (compresi cambiamenti nelle circostanze) e della
probabilità (likelihood) associata al suo verificarsi.
Nota 5 La parola “rischio” è a volte utilizzata quando vi è la possibilità di
conseguenze negative soltanto.
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
• I Concetti di RISCHIO E DI OPPORTUNITA’ erano Impliciti nel Sistema 9001:2008 , richiamati al punto 8.5.3. ( Azioni Preventive) .
• Con la Iso 9001: 2015 e più in generale nei sistemi di gestione Iso, caratterizzati da un’ unico nucleo di requisiti ( Struttura di alto livello HLS) , questi concetti vengono esplicitati e costituiscono la componente essenziale e la novità più significativa: il « Risk based thinking» concepito come filosofia del rischio, che sostiene e permea l’intera normativa.
• Viene confermato il modello « Plan-Do-Check-Act» : la Valutazione dei rischi e delle opportunità è orizzontale rispetto a queste diverse fasi.
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
Secondo linea guida iso 31000/2010:
Identificare i rischi
Fonti di rischio, Cause, Impatti e conseguenze
Analisi del rischio
Qualitativa, semiquantitativa o quantitativa
Ponderazione del rischio
Definizione dei processi decisionali, a fronte dell’analisi del rischio
Trattamento del rischio
Piano di azione
Monitoraggio e Riesame
Verifica di efficacia a seguito dell’attuazione del piano.
Registrazione
Eventuale registro dei rischi se previsto
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
Dove sono, nella Iso 9001:2015, i riferimenti ai rischi?
Praticamente, dovunque.
PLAN: Analisi del contesto; Leadership; Pianificazione; Supporto
DO: Attività operative
CHECK: Valutazione delle prestazioni
ACT: Miglioramento.
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
In pratica, per semplificare l’analisi e per aprire la strada alle applicazioni pratiche, possiamo identificare due grandi tipologie :
1. Rischi ed opportunità a livello strategico: derivano dall’analisi del contesto interno ed esterno ( punto 4.1. e 4.2. della Iso) e vengono incorporati nello sviluppo del business.
2. Rischi e ( più raramente) opportunità nella gestione dei processi e delle attività, che richiedono non soltanto una mappatura, ma un’analisi di profondità dei processi gestionali ed operativi.
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
Deve essere chiaro che l’identificazione dei rischi e delle opportunità deve sempre generare un Piano di azioni conseguenti o preventive mirato allo sviluppo delle opportunità e alla riduzione dei rischi analizzati, secondo il prospetto della diapositiva n. 13, e che tali Azioni devono essere opportunamente monitorate e verificate efficaci.
Deve essere altrettanto chiaro, tuttavia, che la Norma non prestabilisce un metodo per l’identificazione dei rischi e delle opportunità e neanche impone un documento di riferimento, lasciando alle organizzazioni, secondo il loro contesto, ampia libertà.
RISCHI E OPPORTUNITA’ NELLA ISO 9001:2015
LA MISURA QUANTITATIVA DEL RISCHIO
La ISO 31000 « Risk Management» non descrive metodi quantitativi nella valutazione del rischio.
Volendo proporne uno, strettamente legato al rischio di evento, si può ricorrere all’algoritmo R= K (pxg) dove p, su una scala da 1 a 10, esprime la probabilità che l’evento si verifichi, g, su una scala da 1 a 10, esprime la gravità dell’evento stesso e K è un fattore di correzione , calcolato in frazione di 1, che esprime la capacità preventiva del sistema.
Questa misura quantitativa è utilizzata nei sistemi di sicurezza, dove l’evento pericoloso può essere l’infortunio o la malattia professionale.
RIFERIMENTI APPLICATIVI-SWOT ANALISI
PROCESSO ACQUISTI ( ZOMER-MERICO)
Analisi dei rischi
G gravità - P probabilità accadimento 1 bassa- 10 alta IR indice rischio GxP
EVOLUZIONE DELLA CONOSCENZA ORGANIZZATIVA
IS0 9001:2015. 7.1.6.
STRATEGIA
AZIENDALE
DIAGNOSI DI
CONOSCENZA
ORGANIZZATIVA
GAP ANALYSIS
PIANO DI ATTIVITA’ VERIFICA DI
EFFICACIA ATTIVITA’
IMPLEMENTATA
Pianificazione nuovi
prodotti/ nuove attività
La gap analysis
evidenzia carenze nel
know-out di
progettazione
Rischio sulla strategia.
Assunzione di
progettisti o consulenti
di progettazione o
coprogettazione con i
fornitori più importanti
Verifica delle
conoscenze
organizzative acquisite
e della loro capacità di
sostenere la strategia
aziendale
RISK MANAGEMENT E QUALITA’ NEL SETTORE AUTO A. MERICO
L’approccio dei car maker dagli anni ’70 fu quello di dotarsi di metodologie preventive applicate alla produzione di serie ed a campioni significativi, peraltro diffuse già nei settori industriali quali l’aeronautico-aerospaziale, militare, farmaceutico, …
A livello sistemico dei processi aziendali, il settore auto motive dotò queste attività complesse con metodologie di prevenzione, di dimostrazione o di verifica con forme di studio di modello per processi (tra cui ISO/TS), training, diffusione degli “strumenti” applicativi con forte componente di analisi, comprensione, definizione delle funzioni primarie e secondarie ed attribuzione dei criteri di accettazione basate su conformità alle specifiche di qualità e di affidabilità.
RISK MANAGEMENT E QUALITA’ NEL SETTORE AUTO A. MERICO
Ne enumeriamo le principali oramai divenute “prassi” continue:
QFD quality fuction deployment utile per comprendere e abbinare need/expectation del cliente finale con le specifiche di base del prodotto auto motive;
specifiche tecniche con analisi delle funzioni primaria e secondarie del prodotto e contenente gli obiettivi e criteri di accettazione di qualità e di affidabilità;
matrice di correlazione per attribuzione alle parti del componente le funzioni primarie e secondarie del prodotto
classificazione delle funzioni dei componenti/sottogruppi e delle caratteristiche critiche e di sicurezza
programmi di prove nella sperimentazione dei prototipi con applicazione di metodologie affidabilistiche (DOE design of experiment, Weibull, Taguchi) basate su ricerca estesa campionaria con probabilità statistica dimostrata o verificata
DFMEA analisi dei modi e degli effetti di guasto sul prodotto/componenti in sviluppo di progetto
specifiche tecniche e disegni finali con classificazione funzionale, caratteristiche classificate per sicurezza e criticità e relativi criteri di accettazione (campo di funzionalità e perdita di funzione campo di conformità campo di tolleranza).
CONCLUSIONI
In conclusione: con il Risk-Management, la Iso 9001:2015 ha aperto alle organizzazioni un campo di opportunità, all’interno delle quali le
organizzazioni restano libere di muoversi, secondo l’analisi di contesto e la specificità dei processi.
Le organizzazioni che operano in Iso-TS risultano già preparate tecnicamente all’uso di questi strumenti, sia nella progettazione che nel processo
produttivo e quindi risultano agevolate nella piena valorizzazione delle metodologie preventive.