OTTOBRE 200920

Una delle piccole grandi novità della Norma ISO 9001 edizione 2008 è sicuramen-te il fatto che compaia, nel corpo Norma, la parola “rischio”. La menzione è in ef-fetti duplice:

• punto 0.1, comma a) dell’elenco, in cui è specificata la necessità di correlare la proget-tazione e attuazione del sistema di gestione al contesto aziendale ed ai rischi ad esso as-sociati;

• punto 0.4 dove è citata la compatibilità del sistema di gestione per la qualità con gli al-tri sistemi (come vedremo, nella fattispecie sarebbe più appropriato parlare di “stru-mento di gestione”) tra cui appunto la gestione del rischio (riferimento peraltro già pre-sente nella precedente edizione del 2000).

Sviscereremo debitamente entrambi i punti nel seguito per poi fare delle considerazionidi carattere operativo.Innanzitutto è bene ribadire che la nuova edizione della ISO 9001 è stata elaborata inun’ottica di affinamento della precedente edizione, senza stravolgerne struttura e requisi-ti, con l’obiettivo di contribuire al consolidamento della “cultura della qualità”, ormai pa-trimonio di buona parte del tessuto socio-economico globale. Se da un lato non è statodunque aggiunto un solo requisito al SGQ, dall’altro gli sforzi degli estensori della norma(afferenti all’ISO/TC 176 Working Group 18) si sono focalizzati su una maggiore chiarez-za del testo - con particolare attenzione alle questioni di carattere terminologico e di tra-ducibilità - e sull’incremento della fruibilità complessiva del documento ai fini della com-patibilità con la ISO 14001, con gli altri sistemi di gestione emergenti e con le norme disupporto della serie ISO 10000.

Gian Carlo MocciGià Risk&QualityManager eResponsabileCommerciale in unEnte di CertificazioneInternazionale è LeadAuditor SGA ed SGQ,Internal Auditor CCSA,consigliere dell’AIVI intema di RiskManagement(Associazione ItalianaValutatori ed Ispettori),e Responsabile Clientiin Prudential Financial.

Marco CibienFunzionario Tecnicodel Gruppo di LavoroUNI “Gestione delRischio” - DivisioneOrganizzazione,Processi, Servizi eSocietà.

QUALITÀ E RISCHIO: L’INIZIO DI UNNUOVO CORSO?

DEQ

UA

LITA

TE

In tale prospettiva è evidente che anche pic-cole sfumature lessicali, possono celarequalcosa di ben più consistente e merite-vole di approfondimento. Questo è proprio ciò che vi proponiamo:cercare di capire come la compenetrazionetra i concetti di qualità e rischio, possa nonsolo costituire un utile strumento per conso-lidare quanto già attuato all’interno dei SGQin essere, ma anche rappresentare una soli-da base per il processo di miglioramentocontinuo e per il futuro sviluppo del concet-to stesso di qualità.

QUALITÀ E RISCHIO: DAICONCETTI ALLA PRASSI

Comprendere “il come” la gestione del ri-schio possa integrarsi sinergicamente conun SGQ sarà oggetto della seconda parte delpresente articolo, premesso che, in terminigenerali, esso non è intrinsecamente in gra-do di esaurire tutte le possibili declinazionidi tale sinergia. Cosa semplice è invece ca-pirne “il perché”, soprattutto alla luce deipiù recenti sviluppi in ambito terminologi-co, nella fattispecie riportati nella UNI11230:2007 (Gestione del rischio – Vocabo-lario) e nella UNI EN ISO 9000:2005 (Siste-mi di gestione per la qualità - Fondamenti evocabolario). Se la seconda non ha certo bi-sogno di presentazioni, ci piace ricordarecome la norma italiana UNI 11230 rappre-senti non solo un significativo contributonazionale al fervido dibattito in sede CEN edISO sul tema, ma anche un autorevole rife-rimento in attesa delle prossime pubblica-zioni internazionali in materia.La ISO 9000 definisce la gestione per la qua-lità quale “attività coordinate per guidare etenere sotto controllo una organizzazione”(punto 3.2.8). Dunque la qualità (punto

3.1.1) consiste fondamentalmente in un in-sieme di caratteristiche (asset) materiali edimmateriali atti a soddisfare i requisiti spe-cificati.E’ evidente che in fase di progettazione edattuazione di un siffatto sistema è indispen-sabile disporre di tecniche e strumenti checonsentano un’approfondita analisi dellecondizioni presenti, ma anche delle capacitàdi definire i potenziali scenari disviluppo/business futuri sui quali orientarela politica dell’organizzazione e le risorse.A tal proposito è noto che, ai fini di ottimiz-

zare i processi e l’impiego delle risorse, esi-ste un insieme di strumenti gestionali (ma-nagement tools) ampio e variegato; si po-trebbero citare ad esempio l’analisi del valo-re, le tecniche proprie della scuola nipponi-ca (Kaizen, metodi Taguchi, TPS) o ancora ipiù recenti metodi improntati alla gestionestatistica dei processi (TQM, Six Sigma).E tuttavia non v’è dubbio che, per quantoconcerne la fase di analisi e previsione so-pracitate, la gestione del rischio giochi unruolo fondamentale, sia per la sua applica-bilità pressoché universale, sia per la sua ef-ficacia ed immediata comprensibilità. Ebbene frequentando uno dei corsi di ag-giornamento sulla ISO 9001:2008 capitache qualcuno chieda “si, ma cosa s’inten-de con rischio?”.Del resto, in funzione del proprio back-ground professionale, le sfumature e le per-cezioni soggettive dei rischi differiscono an-che pesantemente, ed è evidente che per unesperto di sicurezza sul lavoro il concettostesso assume connotazioni diverse rispettoa chi si occupa di security nell’IT, o ancoradi rischio ambientale o rischio clinico.In realtà, proprio la già citata UNI 11230 de-finisce un possibile “massimo comun diviso-

OTTOBRE 2009 21

DE QUALITATE

Nel momento in cui una organizzazione facesse svolgere da una società terza deiMystery Audits questi potrebbero configurarsi come un eccellente strumento diCustomer Satisfaction che si sostituirebbe, in tutto o in parte, ad altre tipologie diindagini svolte comunemente con un evidente vantaggio in termini di costi ed efficienza.

OTTOBRE 200922

DE QUALITATE

re” inter-settoriale per tale concetto, quale“insieme delle possibilità di un evento e del-le sue conseguenze sugli obiettivi” (punto3.1.13). Si tratta di una definizione prag-matico-operativa, che consente di quantifi-care l’incertezza relativa ad un evento intermini tipicamente economici (nella suaforma più tipica, la dimensione di un ri-schio consiste infatti nel prodotto di proba-bilità dell’evento ed entità delle sue conse-guenze espressa in termini monetari), se-condo una visione che non esclude a priorila possibilità di rischi speculativi o positivi,ossia capaci di portare a benefici (visionebilaterale del rischio, assai diffusa, adesempio, in ambito economico-finanzia-rio).In altre parole, nell’ipotesi di disporre di uninsieme d’informazioni adeguato (giudiziesperti, conoscenze derivanti dall’esperien-za o dalla letteratura specifica, indagini ad-hoc, etc) abbinato a nozioni basilari di sta-tistica e matematica, il percorso che portadall’individuazione dei rischi potenziali ad

una mappatura grafica degli stessi (tipicoelemento in uscita dal processo di risk as-sessment) sembra alla portata della direzio-ne di una qualsivoglia organizzazione, indi-pendentemente dal settore in cui questaopera e dalle sue dimensioni, pertanto lagestione dei rischi potrebbe avere neglianni a venire una ampia diffusione.

LA GESTIONE DEI RISCHI INPRATICA

Non è obiettivo del presente articolo de-scrivere il processo complessivo di gestionedel rischio1 che indichiamo schematica-mente in Figura 1.È viceversa importante elencarne, in estre-ma sintesi, i vantaggi derivanti dal suo uti-lizzo sinergico con i sistemi di Gestione(Qualità, Ambiente, Salute e Sicurezza sullavoro, Corporate Governance, etc.. ):• agevolazioni nell’adempimento di re-quisiti cogenti;

Figura 1

QUALITÀ E RISCHIO: L’INIZIO DI UN NUOVO CORSO?

1 Si veda a tal fine lapubblicazione: G. C.Mocci, M. Cibien:“Risk Management:dalla teoria allapratica”. De Qualitate,n°11 2006.

OTTOBRE 200924

DE QUALITATE

• maggiori tutele nel caso di contenziosi• risparmi sulle coperture assicurative;• migliore gestione del rischio credito;• maggiore efficienza ed efficacia nei pro-cessi di marketing e vendite (brand & re-putation, CRM);

• aumento della capacità gestionale (reat-tività ad emergenze/crisi e relativa gestio-ne);

• miglioramento della propria reputazio-ne presso gli stakeholder (agevolazioninell’accesso al credito, maggior favore daparte di investitori, azionisti,mercato/consumatori/utenti);

• maggiore motivazione e coinvolgimentodel personale (orgoglio, senso di apparte-nenza, comunicazione interna);

• totale compatibilità con l’approccioPDCA ed i principi fondamentali della ge-stione per la qualità;

• aumento della capacità decisionale ba-sata su evidenze quantitivo-oggettive an-che in riferimento all’individuazione dieventuali opportunità (rischi speculati-vi/positivi), al miglioramento continuo edalla progressiva edificazione di una cultu-ra aziendale “risk-oriented”.

IL RUOLO DEGLI ENTI DICERTIFICAZIONE

Sul fronte degli Enti di Certificazione (atto-ri importanti nell’ambito dei sistemi di ge-stione volontari) questi sono coscienti delfatto che gli audit di certificazione e sor-veglianza vengono talora percepiti dalleaziende come a basso valore aggiunto.Ciò è ancora più vero quando le aziendeclienti sono strutturate ed attente ad aspet-ti di miglioramento.Spesso proprio queste tipologie di aziendesono anche quelle a più elevato potenzialecommerciale, se non per i margini sicura-mente per i volumi di fatturato, anche per-ché ci sono opportunità di erogare diversiservizi al medesimo cliente.Si consideri che tecniche di gestione dei ri-schi vengono già comunemente adottatedalle organizzazioni, ad esempio si pensialla gestione del rischio credito (anche unapiccola organizzazione adotta spesso degli

accorgimenti per incassare i crediti quantoprima) oppure alla gestione del rischio im-magine (ogni imprenditore sa che non farebella figura con i clienti può incidere nega-tivamente sul business futuro).Per quanto sopra può essere utile e distinti-vo per gli Enti di Certificazione introdurreaspetti di risk management anche durantegli audit di verifica del sistema di gestionedella qualità; discorso analogo vale ovvia-mente anche per altri sistemi di gestioneche peraltro godono solitamente di mag-giore considerazione (es. ISO 14001 e OH-SAS 18001).Durante le visite di certificazione e sorve-glianza si deve sempre avere un corretto bi-lanciamento tra tempi e costi, così come traestensione e livello di approfondimentodella verifica.D’altra parte impliciti concetti base di RiskManagement sono già considerati durantetali audit: ad esempio le responsabilità daprodotto difettoso sono considerate nel-l’ambito dei controlli prima del rilascio enella gestione del prodotto non conforme;il rischio legato al mercato è gestibile anchecon le attività di marketing e vendite; il ri-schio credito potrebbe essere consideratoprima della presa in carico di un contratto.Pertanto Il consiglio è quello di combinaretecniche di auditing “in orizzontale” converifiche “in verticale” più approfondite suspecifici temi. Con le prime ci si accerta diaver verificato tutti i punti della Norma diriferimento al fine di garantire un adegua-to livello di conformità, con le seconde siapprofondiscono specifici aspetti di specifi-ci processi .A riprova di quanto esposto si consideri chediversi Enti di Certificazione hanno giàsviluppato dei servizi di audit “avanzati”con l’intento di aiutare le organizzazionia meglio gestire i loro rischi.Hanno combinato varie tecniche, una dellequali è quella degli audit “a sorpresa”, i My-stery Audit per l’appunto, mentre un’altra èquella di sviluppare delle certificazioni spe-cifiche, per particolari settori di attività.Abbiamo pertanto visitato i siti internet Ita-liani di alcuni Enti di Certificazione digi-tando sul motore di ricerca interno presen-te in Home Page le parole “Rischio” e “My-

QUALITÀ E RISCHIO: L’INIZIO DI UN NUOVO CORSO?

OTTOBRE 200926

DE QUALITATE

stery” 2. Gli Enti presi in considerazione so-no, in ordine alfabetico, DNV, SGS, TUV.Sul sito DNV abbiamo individuato tre ser-vizi chiamati IQRS International QualityRating System, ISRS International SafetyRating System, IERS International Envi-ronmental Rating System.Si tratta di sistemi di rating basati su diffe-renti parametri principali (14 per l’IQRS e18 per l’IERS) legati o legabili agli standarddi riferimento (ISO 9001 e ISO 14001).Un servizio più completo appare essere l’I-SRS, nato con lo scopo di verificare, misu-rare e documentare le performance azien-dali in termini di sicurezza, ambiente eproduttività. Nasce da applicazioni in cam-po industriale e può considerare diversistandard in ambito qualità, ambiente, sicu-rezza, responsabilità sociale d’impresa.In tutti e tre i servizi si possono ottenereinformazioni di carattere quantitativo chequindi si prestano a numerose elaborazionistatistiche e grafiche.Sul sito SGS abbiamo individuato dei do-cumenti inerenti le attività Ispettive, anchecon la modalità dei Mystery Audit, nell’am-bito di alberghi di lusso. Ricordiamo cheSGS ha sviluppato una specifica modalitàdi certificazione di servizio per gli Hotel diLusso a 7 stelle, denominata “7 stelle SGS”ove, per la tipologia di clientela e di attività,la gestione dell’eccellenza, e per contro deirischi, è fondamentale.Abbiamo altresì individuato il servizio“Qualicert” legato alla certificazione di ser-vizio volontaria a seguito della quale ilcliente può beneficiare dell’utilizzo di unlogo specifico. SGS dichiara di essere statoil primo Organismo di Certificazione ad of-frire questo strumento a beneficio delle or-ganizzazioni, e di riflesso a beneficio dei lo-ro clienti.Sul sito TUV abbiamo individuato attivitàdi certificazione di servizio basate di voltain volta su Standard specifici (tipicamenteNorme UNI) nell’ambito dei servizi all’in-fanzia, di traduzione e interpretariato, perle imprese di vigilanza privata. Il vantaggiodi avere standard specifici è certo quello difocalizzare l’attività di Audit sui processiche rappresentano il “core” dell’attività ge-stendone meglio i rischi e valorizzandone i

punti di forza.TUV appare essere l’Ente che più di tuttista sviluppando le attività di Mystery Auditche permettono all’azienda di individuare ipunti di forza e debolezza dei propri pro-dotti/servizi attraverso “l’occhio del Clien-te”. Ciò è molto utile per poter verificare ilmantenimento delle performances dichia-rate dall’azienda e quindi per migliorare lasoddisfazione dei clienti, soprattutto nel-l’ambito dei servizi. La reportistica può es-sere supportata da elaborazioni grafiche enumeriche.

CONCLUSIONI

L’analisi QuantitativaOve sia possibile ottenere risultati quantita-tivi sotto forma di punteggi si possono svi-luppare report con svariate analisi di tipografico e statistico sia nell’ambito del me-desimo audit sia confrontando audit svoltiin tempi diversi così da individuare untrend. Allo stesso modo è possibile con-frontare sia siti diversi della medesima or-ganizzazione che organizzazioni diverse fa-cendo quindi del benchmarking su se stes-si o con i concorrenti o con le medie di set-tore.Il ReportingA valle dei report che indicano quali sono ipunti di forza e di debolezza dei processiesaminati, l’elemento da curare con atten-zione è la individuazione delle azioni di mi-glioramento da attuare a seguito delle ano-malie ed opportunità di miglioramento in-dividuate. E’ evidente che una sempliceclassificazione monodimensionale delleanomalie in maggiori e minori non è di aiu-to, queste dovrebbero avere almeno 2 di-mensioni:• Probabilità che tale anomalia si verifichiin futuro

• Gravità delle conseguenze indotte dal ve-rificarsi dell’anomalia.

Allo stesso modo potrebbe essere molto uti-le attribuire almeno 2 dimensioni alle azio-ni correttive, preventive, curative e di mi-glioramento individuate:• Tempi per l’attuazione delle azioni• Costi per l’attuazione delle azioni.

2 I siti internet sonostati visitati nel mesedi Maggio 2009.Ciascun sito Internetè stato visitato per 10minuti. L’esito delleinformazioni raccolteè quindi legato sia aquesto lasso ditempo che alla facilitàdi accesso alleinformazioni nonchéalla loro completezza.Gli autori restanoovviamente adisposizione pereventuali precisazioniche potrebbero fareoggetto di una futurapubblicazione a tema.

QUALITÀ E RISCHIO: L’INIZIO DI UN NUOVO CORSO?

OTTOBRE 2009 27

DE QUALITATE

E’ altresì evidente che ciò può essere fattosolo coinvolgendo l’organizzazione, e cheanzi potrebbe essere l’organizzazione stes-sa a fare tale classificazione per poi attri-buire le relative priorità di intervento.Nell’attribuzione delle priorità sono ovvia-mente fatti salvi i casi in cui è doveroso unintervento immediato, ad esempio a frontedi non conformità maggiori rispetto ad unostandard di riferimento piuttosto che afronte di inadempienze legislative.Certificazioni di ServizioPer quanto concerne le certificazioni di ser-vizio si ritiene che siano sicuramente moltoutili ai fini di miglioramento delle perfor-mance, restano invece da verificare i ritornia livello di immagine per quelle organizza-zioni che utilizzano i loghi specifici di cia-scun Ente di Certificazione, ove esistenti.Nessuno di tali loghi pare avere oggi unadiffusione e riconoscibilità tale da essere diper se uno strumento di marketing autopor-tante. E’ pertanto necessario che le aziendepubblicizzino adeguatamente eventuali cer-tificazioni di servizio conseguite così darendere coscienti clienti e potenziali clientidei benefici ad esso connessi.Mystery AuditsDiscorso meritevole di approfondimento èpoi quello dei Mystery Audits che ha nume-rosissime applicazioni soprattutto nell’ero-gazione di servizi e nelle organizzazioni ba-sate su network che hanno bisogno diuniformare le performances offerte aiclienti in differenti luoghi e/o differenti

tempi (Compagnie Aeree, attività in Fran-chising, Filiali Bancarie, Catene Alberghie-re, Stazioni di Servizio di Carburante,etc...).Si tratta di un eccellente strumento di au-todiagnosi, che permette a ciascuna orga-nizzazione di individuare in maniera preci-sa, economica, ed indipendente le carenzedei propri processi di erogazione dei servi-zi.Essere coscienti dei propri limiti permettedi intervenire per tempo evitando così chesiano indagini di altro tipo, ad esempioquelle svolte dalle associazioni di consuma-tori, o dai giornalisti, ad evidenziare le inef-ficienze presenti.I Mystery Audits possono quindi essere unvalido strumento per la Pubblica Ammini-strazione così da individuare, qualora nonancora noti, i principali punti di migliora-mento nell’erogazione dei servizi al pubbli-co ed attribuire le priorità in funzione dibudget (sempre più risicati) e tempi (ritor-ni di immagine e consenso, anche a fini po-litici).Concludiamo con un’ultima riflessione, nelmomento in cui una organizzazione faces-se svolgere da una società terza dei MysteryAudits questi potrebbero configurarsi comeun eccellente strumento di Customer Sati-sfaction che si sostituirebbe, in tutto o inparte, ad altre tipologie di indagini svoltecomunemente (es. basate su questionari di-stribuiti ai clienti) con un evidente vantag-gio in termini di costi ed efficienza. ◆

QUALITÀ E RISCHIO: L’INIZIO DI UN NUOVO CORSO?