Avete notato che, ultimamente, nel campo della Qualità è in cor-so una trasformazione paragonabile a un vero e proprio terre-moto? L’interesse per il risk management sta crescendo e, secon-

do alcuni, sta sfiorando i livelli raggiunti dal quality management. Qua-li sono i fattori che supportano questa tesi? Alcuni enti di certificazio-ne internazionali stanno facendo rientrare le loro attività di certifica-zione sotto il grande “ombrello” della gestione del rischio. In molte con-ferenze e convegni che trattano di Qualità, inoltre, c’è, spesso, una par-te che riguarda il risk management. Cosa sta succedendo?

In questo articolo, cercheremo di capire perchè ci si sta spostandoverso un atteggiamento di gestione del rischio e come potete riusci-re ad avvantaggiarvi di questa situazione per trarne profitto per lavostra carriera professionale.

Cosa sta succedendo?Partiamo da un dato. Alcuni enti di certificazione di rilievo internazio-nale si stanno riconvertendo da organizzazioni che trattano di SistemiQualità a organizzazioni che si occupano di gestione del rischio. Adesempio, Det Norske Veritas sul suo sito ha un’intera parte che tratta dirisk management. Questo passaggio sta avvenendo anche per molti al-

iskmanagement:Il futurodella Qualità

GENNAIO 201078

Mitigare il rischiorichiede una

diversadisposizione

mentale che nonl’assicurare la

Qualità.

Libera traduzione, suconsenso dell’Autore, acura di Qualitiamo edell’Ing. Gian Carlo

Mocci dell’articolo diGreg Hutchins –

Pubblicato sulla rivista“Quality Digest” nel

numero di Giugno 2008.

Greg Hutchinsè il Pricipal Engineer di Quality

Plus Engineering, un dipartimentoper la sicurezza Nazionale

Americano, specializzato per laprotezione delle infrastrutture

critiche. Maggiori informazioni suwww.qualityplusengineering.com

QualitiAmoè il primo portale italiano e la

prima community completamentegratuiti dedicati alle tematiche

della qualità e della certificazionein generale. Maggiori informazioni

su www.qualitiamo.com

Gian Carlo Moccigià Risk Manager, QualityManager, e Responsabile

Commerciale in un prestigiosoEnte di Certificazione

Internazionale, è ResponsabileClienti in Prudential Financial,

Lead Auditor SGA ed SGQ,Internal Auditor CRSA.

R

tri enti di Certificazione e Ispezione. Il QualityManagement Institute offre un’intera gamma diservizi sul risk management, dalla “valutazionedel rischio legato al fornitore” alla “gestione del-le performance ambientali”. Se proverete a visitare qualcuno dei siti internetdegli Enti di certificazione, vi accorgerete diquesta vera e propria rivoluzione. (NDT: si vedaa tal fine anche la seconda parte dell’articolopubblicato sul numero di ottobre di De Qualita-te dal titolo “Qualità e Rischio: l’inizio di unnuovo corso?”).Questi enti si stanno riconvertendo, riposizio-nandosi sul mercato come fornitori di servizi sulrisk management per tutta una serie di motivi:• economici• maturità degli standard legati ai sistemi di ge-stione della qualità

• globalizzazione• responsabilità sociale d’impresa• nuovi business model• internet.Proviamo, dunque, a dare un’occhiata più da vi-cino. Le certificazioni ISO 9001 nel Nord America so-no in una situazione di stasi e sono diventateuna commodity, proprio come i servizi di audi-ting che supportano l’iter di adeguamento allostandard di riferimento. Il principale mercato increscita è quello Asiatico. Il mercato nordameri-cano e altri grandi mercati sono saturi per quan-to riguarda le certificazioni ISO 9001. Ecco dun-que perché gli enti di certificazione si stannochiedendo: “Come possiamo fornire valore ag-giunto?” e “Come possiamo generare nuovi pro-fitti?” La globalizzazione, il ricorso all’outsourcing e losviluppo tecnologico hanno aggiunto incertezza,complessità e parecchi rischi al modo di opera-re delle organizzazioni. Questa incertezza e que-sta complessità su scala globale sono sfociatenella necessità di controlli aggiuntivi sui rischi.Ecco perché il risk management è diventatoun’estensione ovvia delle attività di audit ecompliance (NDT: ad esempio sul D.Lgs 231/01)da parte di coloro che forniscono servizi di cer-tificazione. Inoltre, gli standard che si basano sulla ISO9001 sono ormai possiamo dire, maturi. Nelcorso del loro sviluppo lungo gli anni si sono

evoluti partendo da una mera assicurazione diconformità alla ricerca e al perseguimento del-l’efficacia, attraverso un approccio per processi.In aggiunta, sono stati sviluppati nuovi standardISO legati alla gestione dei sistemi qualità come,ad esempio, la ISO 28000 ”Specification for se-curity management systems for the supply chain,”la ISO/IEC 27001 ”Information technology-Secu-rity techniques-Information security managementsystems-Requirements,” e tanti altri. I sistemi digestione della sicurezza si basano sulla gestionedel rischio. Nel mondo sono più di 900.000 leorganizzazioni che hanno adottato la normaISO 9001. Il pensiero comune è che molte diqueste adotteranno i nuovi sistemi ISO basatiproprio sulla gestione del rischio (NDT: l’adozio-ne è soprattutto relativa a specifici standardsper specifici settori di attività). Di recente, le aziende Multinazionali sonostate costrette ad aumentare il loro impegnonei confronti del controllo dei processi affi-dati in outsourcing, della sostenibilità am-bientale e della corporate governance. Negliultimi anni, infatti, sono cresciuti vertiginosa-mente i rischi legati alla corporate governance,alla social responsibility, ed agli aspetti connessiai diritti umani ed al lavoro minorile anche acausa del massiccio ricorrere all’outsourcing. L’aerospaziale, l’automotive e la maggior partedei settori manifatturieri hanno sviluppato nuo-vi modelli di gestione che basano la loro opera-tività su un ricorso massiccio all’outsourcing.La Sara Lee Corp., ad esempio, ha vendutotutti gli stabilimenti che non rappresentava-no il suo core business. Si concentrerà solo suquelle attività che ha considerato fondamentalicome quelle legate allo sviluppo di nuovi pro-dotti, alla gestione dei suoi marchi e all’aumen-to della quota di mercato. Sara Lee esternaliz-zerà, dunque, tutto ciò che non considera corebusiness e manterrà solo i cosiddetti “processiproprietari”. In altre parole, si concentrerà su ciò che sa faremeglio ed esternalizzerà tutto il resto. L’outsour-cing, però, può portare seri rischi legati al livel-lo qualitativo e alla sicurezza dei prodotti. En-trambi questi aspetti possono incidere sui rischilegati a campagne di richiamo e conseguentiaspetti connessi all’immagine ed alla reputazio-ne.

GENNAIO 2010 79

DE QUALITATE

GENNAIO 201080

Anche internet ha accelerato la necessità di ricor-rere al risk management. Jim Kline, un consulentedi Portland, Oregon, che si occupa di qualità, hadetto: “Clienti molto vigili stanno diffondendo i re-clami dei clienti in tutto il Mondo tramite you tu-be”. Fallire la gestione dei rischi legati alla qua-lità (NDT: reale o percepita che sia) può porta-re anche al fallimento dell’azienda.La globalizzazione e l’outsourcing rendono diffici-le la gestione dei processi interni, quali quelli lega-ti alla qualità.La reputazione di Toyota per la qualità delle sueautomobili subisce un duro colpo ad ogni campa-gna di richiamo. Benvenuti nell’economia globale.

Cos’è il rischio?Ci sono molte definizioni di rischio. La maggiorparte, però, considera i seguenti elementi: • Rischio che accada qualcosa che può avere un ef-fetto negativo sugli obiettivi, misurato in terminidi conseguenze e di probabilità (AS/NZS4360:1999—”Risk Management”)

• Rischio di una situazione o circostanza che creiincertezza relativamente al raggiungimento degliobiettivi e dei programmi stabiliti (FAA SystemEngineering Manual)

• Rischio che accada un evento che influenzerà ne-gativamente il raggiungimento degli obiettivi(Enterprise Risk Management—Integrated Fra-mework, COSO, 2004)

• (NDT: riteniamo utile riportare anche la seguen-te definizione tratta dalla Norma UNI 11230 –Gestione del Rischio, Vocabolario: Insieme dellapossibilità di un evento e delle sue conseguenzesugli obiettivi).

Cos’è il risk management?Il risk management è la capacità di identificare ilrischio, valutarlo e mitigarlo.Sebbene esistano molte definizioni di risk manage-ment, quelle che seguono le riassumono bene: • Il risk management è formato dalla cultura, daiprocessi e dalle strutture che contribuiscono agestire in maniera efficace le potenziali opportu-nità e gli effetti avversi (AS/NZS 4360:1999—”Ri-sk Management”)

• Il risk management è la identificazione valuta-zione e risposta al rischio per quanto riguarda unobiettivo specifico ( Enterprise Risk Manage-ment—Integrated Framework, COSO, 2004)

• (NDT: riteniamo utile riportare anche la seguen-

te definizione tratta dalla Norma UNI 11230 –Gestione del Rischio, Vocabolario: Insieme di at-tività, metodologie e risorse coordinate per gui-dare e tenere sotto controllo un’organizzazionecon riferimento ai rischi).

Esempi di risk managementProviamo ad esaminare qualche applicazione pra-tica di risk management. La concorrenza spinge leaziende a sviluppare più prodotti e più velocemen-te perché i mercati si specializzano e i clienti chie-dono sempre di più. Le organizzazioni hanno capito che non possonotenere il passo dei desideri dei clienti, così si affi-dano ai fornitori per progettare qualcosa di nuovoche possa migliorare la loro offerta. Ad esempio, lecompagnie che producono telefoni cellulari devo-no sfornare in continuazione nuovi modelli per te-nersi al passo col mercato. Le collaborazioni con i fornitori, in questo caso,sono critiche e i rischi legati al timing dei prodottiaumentano. I prodotti non devono arrivare sulmercato né troppo presto né troppo tardi per potercosì contrastare efficacemente quelli dei concor-renti. Se arrivano troppo presto, infatti, la richiestadel mercato è ancora insufficiente; se arrivanotroppo tardi, invece, la maggior parte delle venditeandrà persa. Come Sara Lee Corp., anche la Boeing ha decisodi adottare un modello che enfatizza l’outsour-cing e la catena di fornitura. Il modello si basa suquesti step: progettare il prodotto core, esternaliz-zare l’assemblaggio (che può arrivare fino all’ 85%dei costi di produzione), completare l’assemblag-gio del prodotto finito, testare il prodotto per assi-curarne la conformità e gestire il marchio Boeing.Sebbene il Boeing 787 Dreamliner sia stato co-struito secondo questo modello, la Boeing non hané anticipato né gestito efficacemente il rischio le-gato ai fornitori che si sono occupati degli assem-blaggi, per questo motivo ha dovuto rimandarel’ingresso sul mercato del 787 di parecchi mesi. Il top management del Dipartimento per la Sicu-rezza Nazionale degli Stati Uniti vorrebbe unatracciabilità completa (dalla culla alla tomba)delle forniture che si basi su un’analisi dei ri-schi. Le forniture, infatti, possono essere vettori diattacchi terroristici a causa, ad esempio, di conta-minazioni di tipo chimico, biologico, radiologico oaddirittura nucleare. Il governo federale si sta ra-pidamente orientando verso la sicurezza della ca-

DE QUALITATE

GENNAIO 2010 81

tena di fornitura utilizzando strumenti quali gli au-dit della Customs-Trade Partnership Against Terro-rism, l’ispezione del 100% dei container in arrivo,l’identificazione dei container mediante radio fre-quenze, l’utilizzo della biometria per identificarecon certezza lavoratori e fornitori e, infine, spedi-zioni piccole che non richiedano per la consegnal’utilizzo di grossi camion. Ognuna di queste solu-zioni va a trasformare la catena di fornitura di tipojust-in-time in una di tipo just-in-case, secondo unmodello di gestione del rischio.Lo sviluppo di un prodotto è un’attività globale. Leautomobili, ad esempio, possono essere progettatea Los Angeles e assemblate in Ohio a partire daparti prodotte in altri luoghi del pianeta. Avendo a che fare a livello mondiale con i fornitoripiù disparati è necessario ricorrere ad un projectrisk management improntato alla gestione del ri-schio, in modo da anticipare eventuali problemi odostacoli legati al progetto che possono impedire ilpieno raggiungimento di obiettivi relativi ai costi,alla pianificazione e a vincoli qualitativi.I rischi legati a prodotti e ad alimenti di importa-zione sono un tema costante nell’ambito della sa-lute pubblica e della sicurezza del Paese. La CasaBianca ha proposto di migliorare la sicurezzadelle merci importate, focalizzandosi sulla pre-venzione delle non conformità e tenendo sottocontrollo i rischi. Ad esempio, gli Stati Uniti nonpossono ispezionare tutti i beni importati per di-fendere i consumatori da eventuali danni. Nell’ambito del progetto proposto, il governo po-trebbe raccogliere dati da fonti pubbliche e priva-te, identificare i rischi per la sicurezza lungo l’inte-ro ciclo di vita dei prodotti importati, e gestire i ri-schi in modo proattivo e preventivo. Il passaggio da una strategia focalizzata sull’ispe-zione a una improntata alla valutazione dei rischienfatizza la prevenzione, oltre che la verifica e lavalidazione.

Standard e modelli di riskmanagement Gli standard relativi al risk management stannoproliferando come i funghi. L’ISO sta sviluppandola norma ISO/DIS 31000—”Risk management—Principles and guidelines on implementation”. Glielementi principali di questo standard sono: • Identificazione dei rischi. Vanno identificati lafonte del rischio, i potenziali eventi collegati airischi e le loro conseguenze potenziali

• Analisi dei rischi. Vanno analizzate le cause, e leorigini dei rischi nonché le relative probabilità diaccadimento

• Valutazione dei rischi. Occorre determinare se irischi individuati devono essere gestiti e trattatiin qualche modo oppure no

• Trattamento dei rischi. Bisogna determinarestrategie e tattiche adatte a mitigare o a mante-nere sotto controllo i rischi

Standard in grado di gestire ulteriori rischi vengo-no ogni giorno sviluppati per settori specifici. Adesempio, l’American Society of Mechanical Engi-neers Innovative Technologies Institute LLC(ASME ITI) ha sviluppato il Risk Analyses and Ma-nagement for Critical Asset Protection (RAMCAP)per il Dipartimento di Sicurezza Nazionale Ameri-cano, una sorta di documento guida che spiega co-me fare l’analisi dei rischi e come gestire imprevi-sti nel caso di infrastrutture critiche.

Vantaggi di un sistema decisionalebasato sull’analisi dei rischiNegli ultimi dieci anni nell’ambito dei manage-ment aziendali si è verificato un fenomeno interes-sante. Circa 10 anni fa, la qualità era un filtro im-portantissimo per il decision making dei livelli piùalti del management. La qualità, col tempo, si è trasformata in un’at-tenzione spasmodica per i prezzi, inducendo tut-ti a ricorrere alle forniture offshore e all’outsour-cing per contenere i costi. L’attenzione per ilprezzo si è poi trasformata ancora una voltanella gestione dei costi totali e la qualità è di-ventata un argomento molto meno importante perl’alta direzione (NDT: oggi sempre più focalizzatasu indicatori di tipo finanziario sul fronte ricavi,costi, profitti). E adesso? Qual è il filtro primario che porta il se-nior management a decidere? L’attenzione al ri-schio. Perché il risk management è diventato cosìimportante in questi ultimi tempi? Essenzialmenteper quattro ragioni:• Il rischio è insito nei concetti stessi di globa-lizzazione e outsourcing.

• I dirigenti non amano essere vulnerabili enon sono a loro agio davanti all’incertezza.

• I dirigenti vogliono essere in grado di gestireal meglio i risultati e di soddisfare le aspetta-tive degli stakeholder.

• A livello della bottom line il risk managementè un lavoro preventivo e non reattivo. ◆

DE QUALITATE