In questo primo articolo di approfondimento affrontiamo in dettaglio alcuni capitoli della nuova norma ISO 9001:2015, iniziando dall’Appendice che ci fornisce indicazioni su alcuni aspetti di novità della norma per i sistemi di gestione per la qualità nell’edizione di settembre 2015 rispetto alla precedente versione del 2008.

Comprendere le esigenze e le aspettative delle parti interessate

L’identificazione di tutte le parti interessate all’attività dell’organizzazione e l’individuazione delle loro esigenze non costituisce un concetto nuovo per le norme della famiglia ISO 9000, ma ora, con l’edizione 2015 della ISO 9001, entra di diritto fra i requisiti della norma. Nell’appendice A.3 della norma viene però chiarito che l’organizzazione deve identificare quali soggetti (stakeholders) sono interessati all’attività dell’organizzazione e quali sono i loro requisiti ed esigenze. Fra le parti interessate classiche vi sono i dipendenti e collaboratori dell’organizzazione, i fornitori esterni, la proprietà ed i soci, la collettività. Le loro esigenze potrebbero essere anche in contrasto fra loro, ma la norma non richiede espressamente di soddisfare anche le esigenze delle parti interessate, oltre a quelle del cliente; chiede solo di identificarle e di valutare il loro impatto sull’attività dell’organizzazione e sul campo di applicazione del sistema qualità. Conseguentemente sta all’organizzazione stessa stabilire quali parte interessate e quali esigenze delle stesse eventualmente mirare a soddisfare e come.

Risk based thinking

Questo è il principale aspetto innovativo della nuova edizione della norma, anche se il concetto non era completamente assente nelle precedenti edizioni. Il risk based thinking è un approccio alla progettazione, attuazione e documentazione del sistema di gestione finalizzato alla prevenzione degli eventi negativi (non conformità, reclami, ritardi di consegna, interruzioni della produttività e dei servizi, ecc.) che potrebbero accadere con maggiore probabilità e con impatto e conseguenze maggiormente negative. Proprio per le finalità preventive del risk based thinking è stato eliminato un punto specifico sulle azioni preventive, che dovranno confluire nel più ampio spettro delle azioni di miglioramento pianificate.

Tornando al risk based thinking, la valutazione che l’organizzazione deve effettuare sui propri rischi di business avviene a valle dall’analisi del contesto dell’organizzazione, in quanto solo analizzando in dettaglio il contesto nel quale si muove l’organizzazione (mercato, clienti, area geografica, Stato e suoi regolamenti e leggi, personale, fornitori, ecc.) è possibile identificare i rischi reali che potrebbero influenzare i processi di business dell’organizzazione. La norma non può – e peraltro non potrebbe – stabilire una metodologia specifica per la valutazione dei rischi e lascia all’organizzazione il compito di scegliere un metodo di analisi e valutazione dei rischi e, conseguentemente, le azioni di trattamento per eliminare, ridurre o mitigare suddetti rischi. Stando ai requisiti del punto 6.1 l’organizzazione è responsabile della propria applicazione del risk based thinking e, oserei dire purtroppo – può decidere se documentare, e come farlo, il processo di determinazione dei rischi. È, questo, forse il principale punto controverso della nuova norma, probabilmente anche perché costituisce un elemento di novità, in quanto non è chiaro – alle organizzazioni ed ai loro consulenti ed agli auditor degli organismi di certificazione – quale metodologia è idonea per la valutazione dei rischi. In altre parole: i metodi noti e sicuramente adeguati di valutazione dei rischi sono numerosi (si veda ad es. la serie ISO 31000), ma le organizzazioni e gli auditor degli organismi di certificazione si chiedono “qual è il livello minimo di valutazione dei rischi” che garantisce la conformità alla norma? Questo poichè molte organizzazioni, soprattutto di piccole dimensioni, chiedono cosa devono fare per “raggiungere la sufficienza”, anche perché credono che ciò comporti un impegno, e quindi un costo, inferiore. Dall’altra parte come faranno gli auditor a valutare il grado di conformità di un metodo o di un approccio, soprattutto se non è richiesta un’esplicita evidenza documentale?

Informazioni documentate

La nuova terminologia va a sostituire i termini documenti, manuale qualità, procedure, istruzioni, registrazioni ecc… Al di là di questo l’impatto sul sistema qualità è diverso perché non è più richiesto uno specifico documento (ad es. manuale o procedure) per documentare un determinato aspetto (informazioni documentate da mantenere), mentre le registrazioni, ovvero le evidenze che vengono raccolte e conservate per mostrare che le cose si sono svolte in un determinato modo, sono semplicemente informazioni documentate da conservare.

Conoscenza organizzativa

È un aspetto molto importante e spesso sottovalutato dalle aziende e causa di numerosi problemi. La norma richiede, al punto 7.1.6, di determinare e gestire le conoscenze in possesso dell’organizzazione, che spesso risiedono nelle menti delle persone, nei sistemi informativi e negli archivi su supporto cartaceo. Anche in questo caso non è semplice determinare il livello di conformità in modo oggettivo senza sconfinare nel semplice parere, visto che anche su questo aspetto occorre gestire il rischio di perdere queste conoscenze, difficilmente quantificabile.

Torniamo ora all’inizio della norma ed esaminiamo le sezioni partendo dal principio.

0 Introduzione

L’adozione di un sistema di gestione per la qualità e di certificarlo secondo la norma ISO 9001 è una decisione strategica dell’organizzazione, che pertanto dovrebbe agire consapevolmente in relazione ai vantaggi che tale sistema potrebbe apportare all’efficacia ed all’efficienza dell’intera organizzazione ed alla soddisfazione dei clienti.

In questa sezione vengono trattati:

• il ciclo PDCA;
• l’approccio per processi;
• il risk based-thinking e la gestione di rischi e opportunità;

1 Scopo e campo di applicazione

La norma specifica i requisiti per un sistema di gestione quando un’organizzazione voglia dimostrare di essere in grado di fornire con regolarità prodotti e/o servizi conformi ai requisiti del cliente e miri ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema stesso.

2 Riferimenti normativi

La norma fa riferimento alla ISO 9000:2015 relativa ai “Fondamenti e Vocabolario”. In appendice si specifica poi la non obbligatorietà a fare riferimento alle definizioni ufficiali ISO 9000 nell’ambito dei sistemi qualità delle singole organizzazioni. Gli auditor sono avvisati.

3 Termini e definizioni

Si fa riferimento alla sopra citata ISO 9000:2015.

4 Contesto dell’organizzazione

In questa sezione la norma richiede di comprendere l’organizzazione ed il suo contesto, ovvero determinare quei fattori esterni ed interni che influenzano la sua attività ed i relativi risultati da conseguire. Di tali fattori occorre monitorare e riesaminare le informazioni che ne derivano e che possono influenzare il sistema di gestione.

In questo ambito occorre considerare il mercato nel quale opera l’organizzazione, i suoi clienti e le relative esigenze, il contesto normativo e legislativo applicabile, l’ambiente circostante ed il contesto socio-economico del Paese in cui agisce l’organizzazione, cultura e conoscenze dell’organizzazione, tecnologie, ecc…

Da questo punto della norma derivano sicuramente le leggi, le norme ed altri requisiti cogenti applicabili e tutte le condizioni al contorno che influenzano, positivamente o negativamente, l’attività.

L’organizzazione dovrà poi comprendere le esigenze e le aspettative delle parti interessate, dopo aver individuato queste ultime (clienti, personale interno, fornitori, proprietà, collettività, investitori, …) ed aver identificato i loro requisiti, proprio per l’impatto che possono avere sulla capacità di fornire prodotti e/o servizi conformi ai requisiti (del cliente e cogenti applicabili).

Precisato che le parti interessate da individuare sono solamente quelle rilevanti per l’attività svolta dall’organizzazione, si dovrà monitorare e riesaminare le informazioni provenienti da suddette parti interessate.

L’analisi del contesto non sarà statica, ma dinamica, in quanto il contesto dell’organizzazione potrà mutare di anno in anno e, quindi, dovrà essere riesaminato, ad esempio in occasione del riesame della direzione, svolto a frequenza prefissata.

A valle dell’analisi del contesto e delle aspettative delle parti interessate occorrerà determinare il campo di applicazione del sistema di gestione per la qualità.

Nel determinare i confini e l’applicazione del Sistema di gestione per la Qualità l’organizzazione dovrà considerare i fattori relativi al contesto esposti in precedenza.

Il campo di applicazione del sistema dovrà essere documentato e dovrà comprendere i tipi di prodotti e servizi coperti da esso. Non si parla più di esclusioni di punti della norma, ma solo di non applicabilità di requisiti. Tale non applicabilità deve essere giustificata ed è ammessa solo se non influenza negativamente la capacità di fornire prodotti e servizi conformi ai requisiti. Dunque l’esclusione -pardon la non applicabilità – di requisiti pare ammissibile solo se tali elementi sono estranei all’attività dell’organizzazione. La progettazione potrà ritenersi non applicabile solo se veramente non svolta, mentre una partecipazione assieme al cliente ad alcune attività di verifica della progettazione o validazione della stessa durante lo sviluppo del prodotto e del processo dovranno comunque ritenersi compresi nel campo di applicabilità del SGQ.

Infine, alla sezione 4.4, viene trattato il “Sistema di gestione per la qualità ed i relativi processi”. Suddetto paragrafo a cui corrisponde il punto 4 – ed in particolare i sottopunti 4.1 e 4.2.2 – nella precedente edizione della norma ISO 9001:2008, impone alle organizzazioni che vogliono certificarsi di stabilire, attuare, mantenere attivo e migliorare in modo continuativo un sistema di gestione per la qualità. Rispetto ai contenuti della precedente versione della norma è stata data maggior enfasi all’approccio per processi, alla misura dell’efficacia dei processi – anche attraverso la misura ed il monitoraggio degli stessi – ed al miglioramento continuo delle prestazioni. In particolare nella ISO 9001:2015 viene richiesto di:

• determinare gli input necessari e gli output previsti per ciascun processo, le loro interazioni e le risorse ad essi dedicate;
• determinare i metodi, i criteri e gli indicatori per misurare le prestazioni dei processi;
• assegnare le responsabilità e l’autorità per la gestione dei processi.
• considerare i rischi e le opportunità, e le relative modalità di gestione (requisito nuovo, poi dettagliato al § 6.1).

In questo paragrafo, rispetto all’omologo della versione precedente, non viene richiesta documentazione specifica – né manuale qualità, né procedure documentate specifiche -, ma occorre solo mantenere informazioni documentate necessarie e sufficienti a garantire il corretto funzionamento dei processi. La responsabilità di descrivere i processi con procedure, diagrammi di flusso, schede processo o quant’altro è demandata all’organizzazione, mentre sarà compito (impegnativo) degli auditor valutare se tale documentazione è sufficiente a garantire il corretto funzionamento dei processi.

Sicuramente – soprattutto per le PMI – è consigliabile non “buttare via” il manuale qualità, le procedure e tutta la documentazione inerente i processi aziendali prodotta per le precedenti due versioni della norma (si ricorda che con la “Vision 2000” fu introdotto l’approccio per processi, poi rimasto immutato nell’edizione del 2008). Anzi, probabilmente occorrerà descrivere con maggior dettaglio i processi stessi, sicuramente identificandone i rischi e le opportunità, ma anche definendo meglio gli elementi che in passato erano stati trascurati (ad es. indicatori di misura). Infatti, senza una descrizione adeguata dei processi in forma di informazione documentata, difficilmente si riuscirebbe a dimostrare che il processo è gestito e sotto controllo da parte di tutto il personale coinvolto.

(continua)

Lo scorso 22 settembre è stata pubblicata (in realtà retrodatata 15 settembre 2015) la nuova versione della norma UNI EN ISO 9001:2015 “Sistemi di gestione per la qualità – Requisiti”. Tale norma, come noto, regola i sistemi di gestione per la qualità e la relativa certificazione in Italia e nel mondo.

Premesso che non è intenzione di questo articolo entrare nel merito tecnico e sostanziale dei singoli capitoli della norma, per la cui analisi si rimanda a successivi articoli, vorrei esprimere alcune considerazioni generali sulle novità introdotte dalla revisione della norma sui sitemi di gestione per la qualità e, soprattutto, illustrare quale approccio dovrebbero tenere le organizzazioni certificate e certificande nei confronti della nuova edizione della norma ISO 9001.

I principali aspetti innovativi della norma sono probabilmente i seguenti:

• La nuova struttura di alto livello della norma illustrata nell’Annex SL (High Level Structure derivante dalla Direttive ISO/IEC, Parte 1, Annesso SL, Appendice 2);
• Un requisito esplicito che richiede l’adozione del Risk Based Thinking;
• Introduzione di un capitolo dedicato al “contesto organizzativo”;
• Maggiore flessibilità sulla documentazione (“informazioni documentate”) inerente il Sistema di Gestione per la Qualità;
• Minori requisiti prescrittivi;
• Incremento dei requisiti legati alla leadership e maggiore enfasi sul raggiungimento dei risultati stabiliti negli obiettivi misurabili dei processi e dell’organizzazione.

In particolare i nuovi requisiti sulla comprensione del contesto dell’organizzazione, sulle esigenze delle parti interessate e sulla valutazione di rischi ed opportunità dovrebbero costringere le organizzazioni a vivere il sistema qualità come un “vero” sistema di gestione, calato a 360 gradi nella realtà aziendale e nel contesto in cui opera.

Di questi nuovi concetti sono pervasi tutti i punti della norma che sono stati riscritti in questa ottica. In pratica non viene più ritenuto necessario specificare in dettaglio requisiti puntuali su cosa si deve ritrovare nel sistema (procedure, istruzioni, piani, registrazioni particolari o altro) per essere conformi. La struttura del sistema stesso, dal punto di vista documentale, è lasciata libera. Addirittura sono scomparse le prescrizioni sul Manuale Qualità e sulle procedure documentate minime che dovevano essere presenti in passato.

Da un lato la norma sembra dire alle organizzazioni: «analizzate il vostro contesto organizzativo (mercato, ambiente, esigenze di tutte le parti interessate, …), identificate e valutate tutti i rischi di business che potreste dover fronteggiare con idonee contromisure, stabilite i vostri obiettivi di breve, medio o lungo periodo, traduceteli in obiettivi dei processi aziendali misurabili tramite indicatori oggettivi, monitorate e misurate i processi e la soddisfazione del cliente pianificando ed attuando, quando necessario, idonee azioni correttive e di miglioramento e procedete così nell’ottica del miglioramento continuo e della prevenzione dei rischi, tenendo sempre sotto controllo i mutamenti che si manifestano all’interno ed all’esterno dell’organizzazione.»

Dall’altro ci dice di «progettare, attuare e mantenere sempre aggiornato un sistema di gestione per la qualità adeguato alle dimensioni ed al contesto dell’organizzazione, costituito dalle procedure e dai documenti che sono ritenuti necessari per garantire il rispetto delle regole stabilite ed il perseguimento degli obiettivi, richiedendo le registrazioni ritenute necessarie per dare evidenza – prima internamente alla Direzione ed ai vari Responsabili, poi esternamente agli auditor dell’Organismo di Certificazione – che le varie attività sono svolte come stabilito, al fine di garantire la qualità promessa dei prodotti/servizi venduti ed il rispetto di tutti i requisiti normativi e del cliente (tempi di consegna, modalità di erogazione dei servizi, imballaggi, ecc.). »

La norma, dunque, che nacque negli anni ’80 come una norma che esprimeva regole dettate dal buon senso nella gestione della qualità in azienda, non fa altro che confermarsi come tale con i dovuti aggiornamenti e mutamenti intercorsi in questi anni nelle attività delle aziende e nelle organizzazione di ogni settore e dimensione.

Le aziende italiane, però, abituate a seguire una serie di prescrizioni ed a produrre un volume di documentazione che spesso non dipende dalle reali esigenze dell’organizzazione, ora si trovano un po’, per così dire, spaesate. Che fare? Buttiamo via il manuale e tutte le procedure?

E gli auditor come faranno a decretare la conformità alla norma per la relativa certificazione ISO 9001 senza più disporre del manuale delle procedure documentate richieste dalla norma e delle altre prescrizioni che non sono più tali?

A queste domande, forse, sarà possibile rispondere solo fra qualche tempo, quando gli Organismi di Certificazione si saranno allineati alla nuova norma che dovrà essere supportata da linee guida ed interpretazioni ancora da definire da parte degli Enti competenti (EA, ACCREDIA, ecc.).

Per adesso pare che una descrizione del modo di procedere descritta a voce dall’interlocutore dovrebbe essere sufficiente all’auditor per capire il modus operandi. Fatto salvo poi verificare se tutti in azienda la pensano e la raccontano allo stesso modo e, soprattutto, fanno quello che dicono.

Dal punto di vista delle aziende certificate il consiglio che ci viene dalla norma è quello di abbandonare sistemi di gestione per la qualità distanti dalla realtà aziendale, costruiti ad uso e consumo del certificatore. Spesso tali sistemi sono alimentati solo in prossimità della visita di rinnovo della certificazione o di sorveglianza dell’Ente di certificazione, ma non danno un vero valore aggiunto all’azienda. O meglio lo potrebbero apportare, anche se non progettati al meglio e mal applicati, perché alcune informazioni le forniscono, peccato che restino confinate nell’ufficio del responsabile qualità! A proposito, non è più richiesta la figura del Rappresentante della Direzione, tanto discussa perché sovente veniva ricoperta da un membro effettivo della Direzione che poco sapeva di qualità, soltanto per evitare di dare uno stipendio da manager al responsabile qualità che “faceva tutto il lavoro”.

Tutti questi sistemi qualità se non proprio fittizi, almeno inadeguati o comunque non applicati, potranno sopravvivere alla nuova edizione della norma ISO 9001:2015? Ai posteri l’ardua sentenza. La domanda in realtà va fatta alla Direzione di molte organizzazioni: perché mantenere sistemi qualità disallineati con la realtà solo per avere un bollino? Perché non fare le cose seriamente e costruire (o ristrutturare) un sistema qualità effettivamente applicato con efficacia che ci fornisca indicazioni veritiere di dove sta andando l’azienda e strumenti idonei a migliorare l’efficacia e l’efficienza dei processi interni, oltre che la soddisfazione del cliente?

Forse è l’ultima occasione per attuare principi universalmente condivisi che consentono di governare l’azienda verso obiettivi di miglioramento.

Soprattutto in questo periodo, ancora di crisi per alcuni e di ripresa più o meno lenta per altri, la qualità paga sempre.

La nuova norma da un lato ci dà maggiori libertà di definire e gestire le informazioni documentate di cui effettivamente necessitiamo, dall’altro ci fa capire che se vogliamo implementare un controllo sul nostro prodotto dovremo descriverlo in qualche modo affinché il personale preposto lo esegua correttamente e bisognerà esigere delle registrazioni puntuali di suddetti controlli se vogliamo essere sicuri che vengano eseguiti costantemente.

La norma ci consentirebbe di eliminare tutte le procedure che abbiamo: del resto la certificazione ISO 9001 è stata sempre accusata di produrre carta inutile. Probabilmente un po’ di carta inutile si è prodotta solo da parte di aziende che non hanno progettato bene il proprio sistema, non dedicandoci il tempo e le risorse che meritava, magari con la collaborazione di consulenti improvvisati o mal pagati che non avevano tempo, voglia e capacità di analizzare i processi con la dovuta cura; tanto sono sempre bastate procedure standard e moduli standard per ottenere e mantenere la certificazione. Ed era proprio questo che la Direzione voleva: ottenere la certificazione spendendo poco, sia in termini di risorse interne, sia di costi per consulenti e Organismo di Certificazione. Ma questo non è stato il bene delle aziende.

Ci sono molti sistemi qualità ben fatti che non vengono applicati, anche perché non sono diffusi all’interno dell’organizzazione e non adeguatamente “spinti” dalla Direzione. Basterebbe condividerne i principi con le varie figure chiave dell’organizzazione e cercare di aggiornarli e migliorarli per ottenere evidenti benefici per l’impresa. Questo ci invita a fare la ISO 9001:2015.

Dunque non è opportuno gettare via tutta la documentazione prodotta negli anni. Spesso le procedure sono comunque necessarie per avere una ragionevole certezza che le persone facciano quello che si è stabilito di fare. Addirittura anche se l’impresa è di piccole dimensioni, a maggior ragione è necessario documentare attraverso procedure come si desidera siano svolte le varie attività.

Lo stesso Manuale, visto anche come documento di presentazione, può essere utile per illustrare come è stata declinata la norma ISO 9001 all’interno dell’organizzazione e come documento base da cui sono richiamati tutti gli altri, procedure, istruzioni, ecc.

Il messaggio da trasmettere con la nuova norma ISO 9001:2015 alle imprese certificate ed a quelle in corso di certificazione è proprio questo: costruite o ricostruite sistemi adeguati all’organizzazione, effettivamente applicati e monitorati, finalizzati al perseguimento degli obiettivi reali dell’impresa.

Molto arduo sarà il compito degli auditor degli enti di certificazione per verificare che ciò avvenga, proprio perché non sarà sufficiente raccogliere evidenze documentali (come sembrava negli ultimi anni fosse la principale preoccupazione degli auditor), ma bisognerà capire se quello che l’organizzazione sta facendo è efficace per il raggiungimento degli obiettivi ed è conforme ai principi e requisiti normativi.

Infine qualche considerazione sul periodo transitorio. Tutte le organizzazioni certificate dovranno adeguare il loro sistema qualità entro il 15/09/2018; il consiglio è di fare la conversione della certificazione in occasione del prossimo rinnovo, salvo che esso non capiti fra pochi mesi, per dare comunque tempo agli organismi di Certificazione di allinearsi alle nuove metodologie.