Come applicare la ISO 9001:2015 – I parte
In questo primo articolo di approfondimento affrontiamo in dettaglio alcuni capitoli della nuova norma ISO 9001:2015, iniziando dall’Appendice che ci fornisce indicazioni su alcuni aspetti di novità della norma per i sistemi di gestione per la qualità nell’edizione di settembre 2015 rispetto alla precedente versione del 2008.
Comprendere le esigenze e le aspettative delle parti interessate
L’identificazione di tutte le parti interessate all’attività dell’organizzazione e l’individuazione delle loro esigenze non costituisce un concetto nuovo per le norme della famiglia ISO 9000, ma ora, con l’edizione 2015 della ISO 9001, entra di diritto fra i requisiti della norma. Nell’appendice A.3 della norma viene però chiarito che l’organizzazione deve identificare quali soggetti (stakeholders) sono interessati all’attività dell’organizzazione e quali sono i loro requisiti ed esigenze. Fra le parti interessate classiche vi sono i dipendenti e collaboratori dell’organizzazione, i fornitori esterni, la proprietà ed i soci, la collettività. Le loro esigenze potrebbero essere anche in contrasto fra loro, ma la norma non richiede espressamente di soddisfare anche le esigenze delle parti interessate, oltre a quelle del cliente; chiede solo di identificarle e di valutare il loro impatto sull’attività dell’organizzazione e sul campo di applicazione del sistema qualità. Conseguentemente sta all’organizzazione stessa stabilire quali parte interessate e quali esigenze delle stesse eventualmente mirare a soddisfare e come.
Risk based thinking
Questo è il principale aspetto innovativo della nuova edizione della norma, anche se il concetto non era completamente assente nelle precedenti edizioni. Il risk based thinking è un approccio alla progettazione, attuazione e documentazione del sistema di gestione finalizzato alla prevenzione degli eventi negativi (non conformità, reclami, ritardi di consegna, interruzioni della produttività e dei servizi, ecc.) che potrebbero accadere con maggiore probabilità e con impatto e conseguenze maggiormente negative. Proprio per le finalità preventive del risk based thinking è stato eliminato un punto specifico sulle azioni preventive, che dovranno confluire nel più ampio spettro delle azioni di miglioramento pianificate.
Tornando al risk based thinking, la valutazione che l’organizzazione deve effettuare sui propri rischi di business avviene a valle dall’analisi del contesto dell’organizzazione, in quanto solo analizzando in dettaglio il contesto nel quale si muove l’organizzazione (mercato, clienti, area geografica, Stato e suoi regolamenti e leggi, personale, fornitori, ecc.) è possibile identificare i rischi reali che potrebbero influenzare i processi di business dell’organizzazione. La norma non può – e peraltro non potrebbe – stabilire una metodologia specifica per la valutazione dei rischi e lascia all’organizzazione il compito di scegliere un metodo di analisi e valutazione dei rischi e, conseguentemente, le azioni di trattamento per eliminare, ridurre o mitigare suddetti rischi. Stando ai requisiti del punto 6.1 l’organizzazione è responsabile della propria applicazione del risk based thinking e, oserei dire purtroppo – può decidere se documentare, e come farlo, il processo di determinazione dei rischi. È, questo, forse il principale punto controverso della nuova norma, probabilmente anche perché costituisce un elemento di novità, in quanto non è chiaro – alle organizzazioni ed ai loro consulenti ed agli auditor degli organismi di certificazione – quale metodologia è idonea per la valutazione dei rischi. In altre parole: i metodi noti e sicuramente adeguati di valutazione dei rischi sono numerosi (si veda ad es. la serie ISO 31000), ma le organizzazioni e gli auditor degli organismi di certificazione si chiedono “qual è il livello minimo di valutazione dei rischi” che garantisce la conformità alla norma? Questo poichè molte organizzazioni, soprattutto di piccole dimensioni, chiedono cosa devono fare per “raggiungere la sufficienza”, anche perché credono che ciò comporti un impegno, e quindi un costo, inferiore. Dall’altra parte come faranno gli auditor a valutare il grado di conformità di un metodo o di un approccio, soprattutto se non è richiesta un’esplicita evidenza documentale?
Informazioni documentate
La nuova terminologia va a sostituire i termini documenti, manuale qualità, procedure, istruzioni, registrazioni ecc… Al di là di questo l’impatto sul sistema qualità è diverso perché non è più richiesto uno specifico documento (ad es. manuale o procedure) per documentare un determinato aspetto (informazioni documentate da mantenere), mentre le registrazioni, ovvero le evidenze che vengono raccolte e conservate per mostrare che le cose si sono svolte in un determinato modo, sono semplicemente informazioni documentate da conservare.
Conoscenza organizzativa
È un aspetto molto importante e spesso sottovalutato dalle aziende e causa di numerosi problemi. La norma richiede, al punto 7.1.6, di determinare e gestire le conoscenze in possesso dell’organizzazione, che spesso risiedono nelle menti delle persone, nei sistemi informativi e negli archivi su supporto cartaceo. Anche in questo caso non è semplice determinare il livello di conformità in modo oggettivo senza sconfinare nel semplice parere, visto che anche su questo aspetto occorre gestire il rischio di perdere queste conoscenze, difficilmente quantificabile.
Torniamo ora all’inizio della norma ed esaminiamo le sezioni partendo dal principio.
0 Introduzione
L’adozione di un sistema di gestione per la qualità e di certificarlo secondo la norma ISO 9001 è una decisione strategica dell’organizzazione, che pertanto dovrebbe agire consapevolmente in relazione ai vantaggi che tale sistema potrebbe apportare all’efficacia ed all’efficienza dell’intera organizzazione ed alla soddisfazione dei clienti.
In questa sezione vengono trattati:
- il ciclo PDCA;
- l’approccio per processi;
- il risk based-thinking e la gestione di rischi e opportunità;
1 Scopo e campo di applicazione
La norma specifica i requisiti per un sistema di gestione quando un’organizzazione voglia dimostrare di essere in grado di fornire con regolarità prodotti e/o servizi conformi ai requisiti del cliente e miri ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema stesso.
2 Riferimenti normativi
La norma fa riferimento alla ISO 9000:2015 relativa ai “Fondamenti e Vocabolario”. In appendice si specifica poi la non obbligatorietà a fare riferimento alle definizioni ufficiali ISO 9000 nell’ambito dei sistemi qualità delle singole organizzazioni. Gli auditor sono avvisati.
3 Termini e definizioni
Si fa riferimento alla sopra citata ISO 9000:2015.
4 Contesto dell’organizzazione
In questa sezione la norma richiede di comprendere l’organizzazione ed il suo contesto, ovvero determinare quei fattori esterni ed interni che influenzano la sua attività ed i relativi risultati da conseguire. Di tali fattori occorre monitorare e riesaminare le informazioni che ne derivano e che possono influenzare il sistema di gestione.
In questo ambito occorre considerare il mercato nel quale opera l’organizzazione, i suoi clienti e le relative esigenze, il contesto normativo e legislativo applicabile, l’ambiente circostante ed il contesto socio-economico del Paese in cui agisce l’organizzazione, cultura e conoscenze dell’organizzazione, tecnologie, ecc…
Da questo punto della norma derivano sicuramente le leggi, le norme ed altri requisiti cogenti applicabili e tutte le condizioni al contorno che influenzano, positivamente o negativamente, l’attività.
L’organizzazione dovrà poi comprendere le esigenze e le aspettative delle parti interessate, dopo aver individuato queste ultime (clienti, personale interno, fornitori, proprietà, collettività, investitori, …) ed aver identificato i loro requisiti, proprio per l’impatto che possono avere sulla capacità di fornire prodotti e/o servizi conformi ai requisiti (del cliente e cogenti applicabili).
Precisato che le parti interessate da individuare sono solamente quelle rilevanti per l’attività svolta dall’organizzazione, si dovrà monitorare e riesaminare le informazioni provenienti da suddette parti interessate.
L’analisi del contesto non sarà statica, ma dinamica, in quanto il contesto dell’organizzazione potrà mutare di anno in anno e, quindi, dovrà essere riesaminato, ad esempio in occasione del riesame della direzione, svolto a frequenza prefissata.
A valle dell’analisi del contesto e delle aspettative delle parti interessate occorrerà determinare il campo di applicazione del sistema di gestione per la qualità.
Nel determinare i confini e l’applicazione del Sistema di gestione per la Qualità l’organizzazione dovrà considerare i fattori relativi al contesto esposti in precedenza.
Il campo di applicazione del sistema dovrà essere documentato e dovrà comprendere i tipi di prodotti e servizi coperti da esso. Non si parla più di esclusioni di punti della norma, ma solo di non applicabilità di requisiti. Tale non applicabilità deve essere giustificata ed è ammessa solo se non influenza negativamente la capacità di fornire prodotti e servizi conformi ai requisiti. Dunque l’esclusione -pardon la non applicabilità – di requisiti pare ammissibile solo se tali elementi sono estranei all’attività dell’organizzazione. La progettazione potrà ritenersi non applicabile solo se veramente non svolta, mentre una partecipazione assieme al cliente ad alcune attività di verifica della progettazione o validazione della stessa durante lo sviluppo del prodotto e del processo dovranno comunque ritenersi compresi nel campo di applicabilità del SGQ.
Infine, alla sezione 4.4, viene trattato il “Sistema di gestione per la qualità ed i relativi processi”. Suddetto paragrafo a cui corrisponde il punto 4 – ed in particolare i sottopunti 4.1 e 4.2.2 – nella precedente edizione della norma ISO 9001:2008, impone alle organizzazioni che vogliono certificarsi di stabilire, attuare, mantenere attivo e migliorare in modo continuativo un sistema di gestione per la qualità. Rispetto ai contenuti della precedente versione della norma è stata data maggior enfasi all’approccio per processi, alla misura dell’efficacia dei processi – anche attraverso la misura ed il monitoraggio degli stessi – ed al miglioramento continuo delle prestazioni. In particolare nella ISO 9001:2015 viene richiesto di:
- determinare gli input necessari e gli output previsti per ciascun processo, le loro interazioni e le risorse ad essi dedicate;
- determinare i metodi, i criteri e gli indicatori per misurare le prestazioni dei processi;
- assegnare le responsabilità e l’autorità per la gestione dei processi.
- considerare i rischi e le opportunità, e le relative modalità di gestione (requisito nuovo, poi dettagliato al § 6.1).
In questo paragrafo, rispetto all’omologo della versione precedente, non viene richiesta documentazione specifica – né manuale qualità, né procedure documentate specifiche -, ma occorre solo mantenere informazioni documentate necessarie e sufficienti a garantire il corretto funzionamento dei processi. La responsabilità di descrivere i processi con procedure, diagrammi di flusso, schede processo o quant’altro è demandata all’organizzazione, mentre sarà compito (impegnativo) degli auditor valutare se tale documentazione è sufficiente a garantire il corretto funzionamento dei processi.
Sicuramente – soprattutto per le PMI – è consigliabile non “buttare via” il manuale qualità, le procedure e tutta la documentazione inerente i processi aziendali prodotta per le precedenti due versioni della norma (si ricorda che con la “Vision 2000” fu introdotto l’approccio per processi, poi rimasto immutato nell’edizione del 2008). Anzi, probabilmente occorrerà descrivere con maggior dettaglio i processi stessi, sicuramente identificandone i rischi e le opportunità, ma anche definendo meglio gli elementi che in passato erano stati trascurati (ad es. indicatori di misura). Infatti, senza una descrizione adeguata dei processi in forma di informazione documentata, difficilmente si riuscirebbe a dimostrare che il processo è gestito e sotto controllo da parte di tutto il personale coinvolto.
(continua)