DE QUALITATE Gian Carlo Mocci Già Risk&Quality Manager e Responsabile Commerciale in un Ente di Certificazione Internazionale è Lead Auditor SGA ed SGQ, Internal Auditor CCSA, consigliere dell’AIVI in tema di Risk Management (Associazione Italiana Valutatori ed Ispettori), e Responsabile Clienti in Prudential Financial. Marco Cibien Funzionario Tecnico del Gruppo di Lavoro UNI “Gestione del Rischio” - Divisione Organizzazione, Processi, Servizi e Società.
20
OTTOBRE 2009
QUALITÀ E RISCHIO: L’INIZIO DI UN NUOVO CORSO?
U
na delle piccole grandi novità della Norma ISO 9001 edizione 2008 è sicuramente il fatto che compaia, nel corpo Norma, la parola “rischio”. La menzione è in effetti duplice: • punto 0.1, comma a) dell’elenco, in cui è specificata la necessità di correlare la progettazione e attuazione del sistema di gestione al contesto aziendale ed ai rischi ad esso associati; • punto 0.4 dove è citata la compatibilità del sistema di gestione per la qualità con gli altri sistemi (come vedremo, nella fattispecie sarebbe più appropriato parlare di “strumento di gestione”) tra cui appunto la gestione del rischio (riferimento peraltro già presente nella precedente edizione del 2000). Sviscereremo debitamente entrambi i punti nel seguito per poi fare delle considerazioni di carattere operativo. Innanzitutto è bene ribadire che la nuova edizione della ISO 9001 è stata elaborata in un’ottica di affinamento della precedente edizione, senza stravolgerne struttura e requisiti, con l’obiettivo di contribuire al consolidamento della “cultura della qualità”, ormai patrimonio di buona parte del tessuto socio-economico globale. Se da un lato non è stato dunque aggiunto un solo requisito al SGQ, dall’altro gli sforzi degli estensori della norma (afferenti all’ISO/TC 176 Working Group 18) si sono focalizzati su una maggiore chiarezza del testo - con particolare attenzione alle questioni di carattere terminologico e di traducibilità - e sull’incremento della fruibilità complessiva del documento ai fini della compatibilità con la ISO 14001, con gli altri sistemi di gestione emergenti e con le norme di supporto della serie ISO 10000.
DE QUALITATE In tale prospettiva è evidente che anche piccole sfumature lessicali, possono celare qualcosa di ben più consistente e meritevole di approfondimento. Questo è proprio ciò che vi proponiamo: cercare di capire come la compenetrazione tra i concetti di qualità e rischio, possa non solo costituire un utile strumento per consolidare quanto già attuato all’interno dei SGQ in essere, ma anche rappresentare una solida base per il processo di miglioramento continuo e per il futuro sviluppo del concetto stesso di qualità.
3.1.1) consiste fondamentalmente in un insieme di caratteristiche (asset) materiali ed immateriali atti a soddisfare i requisiti specificati. E’ evidente che in fase di progettazione ed attuazione di un siffatto sistema è indispensabile disporre di tecniche e strumenti che consentano un’approfondita analisi delle condizioni presenti, ma anche delle capacità di definire i potenziali scenari di sviluppo/business futuri sui quali orientare la politica dell’organizzazione e le risorse. A tal proposito è noto che, ai fini di ottimiz-
Nel momento in cui una organizzazione facesse svolgere da una società terza dei Mystery Audits questi potrebbero configurarsi come un eccellente strumento di Customer Satisfaction che si sostituirebbe, in tutto o in parte, ad altre tipologie di indagini svolte comunemente con un evidente vantaggio in termini di costi ed efficienza. QUALITÀ E RISCHIO: DAI CONCETTI ALLA PRASSI Comprendere “il come” la gestione del rischio possa integrarsi sinergicamente con un SGQ sarà oggetto della seconda parte del presente articolo, premesso che, in termini generali, esso non è intrinsecamente in grado di esaurire tutte le possibili declinazioni di tale sinergia. Cosa semplice è invece capirne “il perché”, soprattutto alla luce dei più recenti sviluppi in ambito terminologico, nella fattispecie riportati nella UNI 11230:2007 (Gestione del rischio – Vocabolario) e nella UNI EN ISO 9000:2005 (Sistemi di gestione per la qualità - Fondamenti e vocabolario). Se la seconda non ha certo bisogno di presentazioni, ci piace ricordare come la norma italiana UNI 11230 rappresenti non solo un significativo contributo nazionale al fervido dibattito in sede CEN ed ISO sul tema, ma anche un autorevole riferimento in attesa delle prossime pubblicazioni internazionali in materia. La ISO 9000 definisce la gestione per la qualità quale “attività coordinate per guidare e tenere sotto controllo una organizzazione” (punto 3.2.8). Dunque la qualità (punto
zare i processi e l’impiego delle risorse, esiste un insieme di strumenti gestionali (management tools) ampio e variegato; si potrebbero citare ad esempio l’analisi del valore, le tecniche proprie della scuola nipponica (Kaizen, metodi Taguchi, TPS) o ancora i più recenti metodi improntati alla gestione statistica dei processi (TQM, Six Sigma). E tuttavia non v’è dubbio che, per quanto concerne la fase di analisi e previsione sopracitate, la gestione del rischio giochi un ruolo fondamentale, sia per la sua applicabilità pressoché universale, sia per la sua efficacia ed immediata comprensibilità. Ebbene frequentando uno dei corsi di aggiornamento sulla ISO 9001:2008 capita che qualcuno chieda “si, ma cosa s’intende con rischio?”. Del resto, in funzione del proprio background professionale, le sfumature e le percezioni soggettive dei rischi differiscono anche pesantemente, ed è evidente che per un esperto di sicurezza sul lavoro il concetto stesso assume connotazioni diverse rispetto a chi si occupa di security nell’IT, o ancora di rischio ambientale o rischio clinico. In realtà, proprio la già citata UNI 11230 definisce un possibile “massimo comun diviso-
OTTOBRE 2009
21
DE QUALITATE QUALITÀ
E
RISCHIO: L’INIZIO
DI UN NUOVO CORSO?
Figura 1
1 Si veda a tal fine la pubblicazione: G. C. Mocci, M. Cibien: “Risk Management: dalla teoria alla pratica”. De Qualitate, n°11 2006.
22
OTTOBRE 2009
re” inter-settoriale per tale concetto, quale “insieme delle possibilità di un evento e delle sue conseguenze sugli obiettivi” (punto 3.1.13). Si tratta di una definizione pragmatico-operativa, che consente di quantificare l’incertezza relativa ad un evento in termini tipicamente economici (nella sua forma più tipica, la dimensione di un rischio consiste infatti nel prodotto di probabilità dell’evento ed entità delle sue conseguenze espressa in termini monetari), secondo una visione che non esclude a priori la possibilità di rischi speculativi o positivi, ossia capaci di portare a benefici (visione bilaterale del rischio, assai diffusa, ad esempio, in ambito economico-finanziario). In altre parole, nell’ipotesi di disporre di un insieme d’informazioni adeguato (giudizi esperti, conoscenze derivanti dall’esperienza o dalla letteratura specifica, indagini adhoc, etc) abbinato a nozioni basilari di statistica e matematica, il percorso che porta dall’individuazione dei rischi potenziali ad
una mappatura grafica degli stessi (tipico elemento in uscita dal processo di risk assessment) sembra alla portata della direzione di una qualsivoglia organizzazione, indipendentemente dal settore in cui questa opera e dalle sue dimensioni, pertanto la gestione dei rischi potrebbe avere negli anni a venire una ampia diffusione.
LA GESTIONE DEI RISCHI IN PRATICA Non è obiettivo del presente articolo descrivere il processo complessivo di gestione del rischio1 che indichiamo schematicamente in Figura 1. È viceversa importante elencarne, in estrema sintesi, i vantaggi derivanti dal suo utilizzo sinergico con i sistemi di Gestione (Qualità, Ambiente, Salute e Sicurezza sul lavoro, Corporate Governance, etc.. ): • agevolazioni nell’adempimento di requisiti cogenti;
DE QUALITATE QUALITÀ
• • • •
•
•
•
•
•
E
RISCHIO: L’INIZIO
maggiori tutele nel caso di contenziosi risparmi sulle coperture assicurative; migliore gestione del rischio credito; maggiore efficienza ed efficacia nei processi di marketing e vendite (brand & reputation, CRM); aumento della capacità gestionale (reattività ad emergenze/crisi e relativa gestione); miglioramento della propria reputazione presso gli stakeholder (agevolazioni nell’accesso al credito, maggior favore da parte di investitori, azionisti, mercato/consumatori/utenti); maggiore motivazione e coinvolgimento del personale (orgoglio, senso di appartenenza, comunicazione interna); totale compatibilità con l’approccio PDCA ed i principi fondamentali della gestione per la qualità; aumento della capacità decisionale basata su evidenze quantitivo-oggettive anche in riferimento all’individuazione di eventuali opportunità (rischi speculativi/positivi), al miglioramento continuo ed alla progressiva edificazione di una cultura aziendale “risk-oriented”.
IL RUOLO DEGLI ENTI DI CERTIFICAZIONE Sul fronte degli Enti di Certificazione (attori importanti nell’ambito dei sistemi di gestione volontari) questi sono coscienti del fatto che gli audit di certificazione e sorveglianza vengono talora percepiti dalle aziende come a basso valore aggiunto. Ciò è ancora più vero quando le aziende clienti sono strutturate ed attente ad aspetti di miglioramento. Spesso proprio queste tipologie di aziende sono anche quelle a più elevato potenziale commerciale, se non per i margini sicuramente per i volumi di fatturato, anche perché ci sono opportunità di erogare diversi servizi al medesimo cliente. Si consideri che tecniche di gestione dei rischi vengono già comunemente adottate dalle organizzazioni, ad esempio si pensi alla gestione del rischio credito (anche una piccola organizzazione adotta spesso degli
24
OTTOBRE 2009
DI UN NUOVO CORSO?
accorgimenti per incassare i crediti quanto prima) oppure alla gestione del rischio immagine (ogni imprenditore sa che non fare bella figura con i clienti può incidere negativamente sul business futuro). Per quanto sopra può essere utile e distintivo per gli Enti di Certificazione introdurre aspetti di risk management anche durante gli audit di verifica del sistema di gestione della qualità; discorso analogo vale ovviamente anche per altri sistemi di gestione che peraltro godono solitamente di maggiore considerazione (es. ISO 14001 e OHSAS 18001). Durante le visite di certificazione e sorveglianza si deve sempre avere un corretto bilanciamento tra tempi e costi, così come tra estensione e livello di approfondimento della verifica. D’altra parte impliciti concetti base di Risk Management sono già considerati durante tali audit: ad esempio le responsabilità da prodotto difettoso sono considerate nell’ambito dei controlli prima del rilascio e nella gestione del prodotto non conforme; il rischio legato al mercato è gestibile anche con le attività di marketing e vendite; il rischio credito potrebbe essere considerato prima della presa in carico di un contratto. Pertanto Il consiglio è quello di combinare tecniche di auditing “in orizzontale” con verifiche “in verticale” più approfondite su specifici temi. Con le prime ci si accerta di aver verificato tutti i punti della Norma di riferimento al fine di garantire un adeguato livello di conformità, con le seconde si approfondiscono specifici aspetti di specifici processi . A riprova di quanto esposto si consideri che diversi Enti di Certificazione hanno già sviluppato dei servizi di audit “avanzati” con l’intento di aiutare le organizzazioni a meglio gestire i loro rischi. Hanno combinato varie tecniche, una delle quali è quella degli audit “a sorpresa”, i Mystery Audit per l’appunto, mentre un’altra è quella di sviluppare delle certificazioni specifiche, per particolari settori di attività. Abbiamo pertanto visitato i siti internet Italiani di alcuni Enti di Certificazione digitando sul motore di ricerca interno presente in Home Page le parole “Rischio” e “My-
DE QUALITATE QUALITÀ
2 I siti internet sono stati visitati nel mese di Maggio 2009. Ciascun sito Internet è stato visitato per 10 minuti. L’esito delle informazioni raccolte è quindi legato sia a questo lasso di tempo che alla facilità di accesso alle informazioni nonché alla loro completezza. Gli autori restano ovviamente a disposizione per eventuali precisazioni che potrebbero fare oggetto di una futura pubblicazione a tema.
26
OTTOBRE 2009
E
RISCHIO: L’INIZIO
DI UN NUOVO CORSO?
stery” 2. Gli Enti presi in considerazione sono, in ordine alfabetico, DNV, SGS, TUV. Sul sito DNV abbiamo individuato tre servizi chiamati IQRS International Quality Rating System, ISRS International Safety Rating System, IERS International Environmental Rating System. Si tratta di sistemi di rating basati su differenti parametri principali (14 per l’IQRS e 18 per l’IERS) legati o legabili agli standard di riferimento (ISO 9001 e ISO 14001). Un servizio più completo appare essere l’ISRS, nato con lo scopo di verificare, misurare e documentare le performance aziendali in termini di sicurezza, ambiente e produttività. Nasce da applicazioni in campo industriale e può considerare diversi standard in ambito qualità, ambiente, sicurezza, responsabilità sociale d’impresa. In tutti e tre i servizi si possono ottenere informazioni di carattere quantitativo che quindi si prestano a numerose elaborazioni statistiche e grafiche. Sul sito SGS abbiamo individuato dei documenti inerenti le attività Ispettive, anche con la modalità dei Mystery Audit, nell’ambito di alberghi di lusso. Ricordiamo che SGS ha sviluppato una specifica modalità di certificazione di servizio per gli Hotel di Lusso a 7 stelle, denominata “7 stelle SGS” ove, per la tipologia di clientela e di attività, la gestione dell’eccellenza, e per contro dei rischi, è fondamentale. Abbiamo altresì individuato il servizio “Qualicert” legato alla certificazione di servizio volontaria a seguito della quale il cliente può beneficiare dell’utilizzo di un logo specifico. SGS dichiara di essere stato il primo Organismo di Certificazione ad offrire questo strumento a beneficio delle organizzazioni, e di riflesso a beneficio dei loro clienti. Sul sito TUV abbiamo individuato attività di certificazione di servizio basate di volta in volta su Standard specifici (tipicamente Norme UNI) nell’ambito dei servizi all’infanzia, di traduzione e interpretariato, per le imprese di vigilanza privata. Il vantaggio di avere standard specifici è certo quello di focalizzare l’attività di Audit sui processi che rappresentano il “core” dell’attività gestendone meglio i rischi e valorizzandone i
punti di forza. TUV appare essere l’Ente che più di tutti sta sviluppando le attività di Mystery Audit che permettono all’azienda di individuare i punti di forza e debolezza dei propri prodotti/servizi attraverso “l’occhio del Cliente”. Ciò è molto utile per poter verificare il mantenimento delle performances dichiarate dall’azienda e quindi per migliorare la soddisfazione dei clienti, soprattutto nell’ambito dei servizi. La reportistica può essere supportata da elaborazioni grafiche e numeriche.
CONCLUSIONI L’analisi Quantitativa Ove sia possibile ottenere risultati quantitativi sotto forma di punteggi si possono sviluppare report con svariate analisi di tipo grafico e statistico sia nell’ambito del medesimo audit sia confrontando audit svolti in tempi diversi così da individuare un trend. Allo stesso modo è possibile confrontare sia siti diversi della medesima organizzazione che organizzazioni diverse facendo quindi del benchmarking su se stessi o con i concorrenti o con le medie di settore. Il Reporting A valle dei report che indicano quali sono i punti di forza e di debolezza dei processi esaminati, l’elemento da curare con attenzione è la individuazione delle azioni di miglioramento da attuare a seguito delle anomalie ed opportunità di miglioramento individuate. E’ evidente che una semplice classificazione monodimensionale delle anomalie in maggiori e minori non è di aiuto, queste dovrebbero avere almeno 2 dimensioni: • Probabilità che tale anomalia si verifichi in futuro • Gravità delle conseguenze indotte dal verificarsi dell’anomalia. Allo stesso modo potrebbe essere molto utile attribuire almeno 2 dimensioni alle azioni correttive, preventive, curative e di miglioramento individuate: • Tempi per l’attuazione delle azioni • Costi per l’attuazione delle azioni.
DE QUALITATE QUALITÀ
E’ altresì evidente che ciò può essere fatto solo coinvolgendo l’organizzazione, e che anzi potrebbe essere l’organizzazione stessa a fare tale classificazione per poi attribuire le relative priorità di intervento. Nell’attribuzione delle priorità sono ovviamente fatti salvi i casi in cui è doveroso un intervento immediato, ad esempio a fronte di non conformità maggiori rispetto ad uno standard di riferimento piuttosto che a fronte di inadempienze legislative. Certificazioni di Servizio Per quanto concerne le certificazioni di servizio si ritiene che siano sicuramente molto utili ai fini di miglioramento delle performance, restano invece da verificare i ritorni a livello di immagine per quelle organizzazioni che utilizzano i loghi specifici di ciascun Ente di Certificazione, ove esistenti. Nessuno di tali loghi pare avere oggi una diffusione e riconoscibilità tale da essere di per se uno strumento di marketing autoportante. E’ pertanto necessario che le aziende pubblicizzino adeguatamente eventuali certificazioni di servizio conseguite così da rendere coscienti clienti e potenziali clienti dei benefici ad esso connessi. Mystery Audits Discorso meritevole di approfondimento è poi quello dei Mystery Audits che ha numerosissime applicazioni soprattutto nell’erogazione di servizi e nelle organizzazioni basate su network che hanno bisogno di uniformare le performances offerte ai clienti in differenti luoghi e/o differenti
E
RISCHIO: L’INIZIO
DI UN NUOVO CORSO?
tempi (Compagnie Aeree, attività in Franchising, Filiali Bancarie, Catene Alberghiere, Stazioni di Servizio di Carburante, etc...). Si tratta di un eccellente strumento di autodiagnosi, che permette a ciascuna organizzazione di individuare in maniera precisa, economica, ed indipendente le carenze dei propri processi di erogazione dei servizi. Essere coscienti dei propri limiti permette di intervenire per tempo evitando così che siano indagini di altro tipo, ad esempio quelle svolte dalle associazioni di consumatori, o dai giornalisti, ad evidenziare le inefficienze presenti. I Mystery Audits possono quindi essere un valido strumento per la Pubblica Amministrazione così da individuare, qualora non ancora noti, i principali punti di miglioramento nell’erogazione dei servizi al pubblico ed attribuire le priorità in funzione di budget (sempre più risicati) e tempi (ritorni di immagine e consenso, anche a fini politici). Concludiamo con un’ultima riflessione, nel momento in cui una organizzazione facesse svolgere da una società terza dei Mystery Audits questi potrebbero configurarsi come un eccellente strumento di Customer Satisfaction che si sostituirebbe, in tutto o in parte, ad altre tipologie di indagini svolte comunemente (es. basate su questionari distribuiti ai clienti) con un evidente vantag◆ gio in termini di costi ed efficienza.
OTTOBRE 2009
27