Cresce sempre più, tra link ad articoli di approfondimento e discussioni nei gruppi professionali sui social, il fermento per la nuova versione della norma ISO 9001:2015, nella quale si stabiliscono i requisiti per un sistema di gestione per la qualità. Dal 5 del mese di maggio 2015 la norma si trova nello stadio 50.00, ovvero in fase di approvazione finale (FDIS). Per i non addetti ai lavori potrebbe essere interessante consultare la mappa dei codici di sviluppo delle normative dell’Organizzazione Internazionale per la Standardizzazione e la scheda di sviluppo della nuova 9001.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Le variazioni questa volta sono significative – non come successe con la revisione del 2008 che riguardò pochi chiarimenti – ed avranno un impatto indiscutibilmente elevato sulle organizzazioni. Le principali modifiche, che in questa sede prenderemo in considerazione per riflettere su alcuni argomenti, riguardano l’introduzione delle attività di analisi del contesto e di analisi dei rischi.
Proprio a proposito dei rischi è opportuno rammentare che l’ISO li definisce come l’effetto dell’incertezza sugli obiettivi. E’ quindi doveroso prendere in considerazione le possibili deviazioni rispetto ai risultati attesi, siano esse di natura negativa oppure di natura positiva, ovvero le opportunità. Nel testo è però presente (per il momento) la nota n. 5 che afferma: il termine rischio qualche volta viene utilizzato solamente per indicare conseguenze negative. Ed è proprio questo uno dei punti che mi spaventa. Per le altre norme, all’interno delle quali è già stato introdotto il concetto di analisi e valutazione dei rischi, mi sembra chiaro l’interesse degli auditor nel verificare la coerenza delle attività di valutazione delle catastrofi, senza però soffermarsi in modo altrettanto scrupoloso sul processo di valutazione delle opportunità. L’applicazione della nuova norma potrebbe essere l’occasione buona per una virata secca, strutturando in modo articolato anche la metodologia che riguarda l’analisi e la valutazione di queste ultime, soprattutto in ottica di soddisfazione del cliente.
Quando si parla poi di analisi dei rischi c’è un altro spinoso problema da risolvere. Per chiarire la questione prendo spunto dall’interessantissimo redazionale del mensile Wired di giugno, cercando di mettere a confronto il principio di Pareto con il Cigno Nero di Taleb. Dall’iniziale costatazione empirica di Pareto si formulò una legge ad ampio spettro, che conservò il suo nome, per la quale la maggior parte degli effetti è dovuta ad un numero ristretto di cause. Come a dire, in ambito di gestione dei rischi, che tenendo sotto controllo un 20% di probabili cause è possibile in qualche modo governare l’80% degli effetti. Di contro Taleb scrisse (ci soffermeremo sulle prime due caratteristiche): Ciò che chiameremo Cigno nero (con la maiuscola) è un evento che possiede le tre caratteristiche seguenti. In primo luogo è un evento isolato, che non rientra nel campo delle normali aspettative, poiché niente del passato può indicare in modo plausibile la sua possibilità. In secondo luogo, ha un impatto enorme. Lo stesso dualismo tra approccio probabilistico e un approccio focalizzato sui soli impatti esiste nel mondo normativo ISO.
La ISO / IEC 27001, che si occupa di definire i requisiti per un sistema di gestione per la sicurezza delle informazioni, richiede alle organizzazioni, col punto 6.1.2 d) (siamo in fase plan), che siano valutate non solamente le possibili conseguenze che risulterebbero se i rischi identificati si concretizzassero, bensì anche la verosimiglianza realistica del concretizzarsi dei rischi identificati, determinando, in conclusione, un livello di rischio basato sull’interazione di impatto e probabilità. Di contro la ISO 22301, che affronta l’analisi dei rischi al punto 8 (quindi in fase Do del sistema di gestione) fa riferimento in modo chiaro all’impatto potenziale di un incidente, senza menzionare in alcun modo la verosimiglianza. La nuova 9001, in questo contesto, non prende nessuna posizione, facendo riferimento esclusivamente a rischi e opportunità, senza determinare in alcun modo le caratteristiche della valutazione. Seppur nel tentativo, in questo pezzo, di rimanere neutro commentatore della norme, ho però il dovere di cronaca di rammentare che non poche aziende, al momento dell’incidente (evento con probabilità di accadimento prossime allo 0) hanno subito un danno irreparabile, che di fatto ne ha causato la chiusura.
Esiste un’ulteriore questione che ho a cuore, ovvero la stretta relazione che intercorre tra le attività di analisi del contesto interno ed esterno all’organizzazione e la capacità della stessa di individuare nuovi fattori di rischio, da intendersi – lo sottolineiamo ancora una volta – con accezione negativa ma anche positiva. Nel volume Change, di Watzlawick, Weakland e Fisch – un testo oramai classico per il Change Management – viene sollevata una considerazione interessante circa il cambiamento: il cambiamento2 appare imprevedibile, brusco illogico, ecc. solamente in termini di cambiamento1, cioè da dentro il sistema. Il cambiamento2 è introdotto nel sistema dall’esterno e quindi non appare familiare né è comprensibile nei termini delle vicissitudini del cambiamento1. Di qui la sua natura inspiegabile e all’apparenza capricciosa.
Prendiamo poi in considerazione un altro passaggio del Cigno nero. Taleb spiega in modo chiaro come la conoscenza umana è orientata a focalizzare l’attenzione, con un inquietante livello progressivo di dettaglio, circa i temi già noti, scartando invece in modo istintivo gli argomenti non conosciuti. Sappiamo che, già dai tempi di Socrate, un buon orientamento allo sviluppo della conoscenza era stato identificato nella presa di coscienza dei limiti di questa stessa: so di non sapere.
Questi passaggi divengono estremamente rilevanti per considerare l’attivazione di un processo dettagliato che ponga in stretta relazione l’analisi del contesto esterno all’organizzazione e la fase di identificazione dei rischi. Di fatto le persone esterne possono fornire input illuminanti ed estremamente concreti circa fattori non considerati in precedenza, contribuendo all’accrescimento dell’ampiezza della visione, che in alcuni casi si potrebbe rilevare persino efficace nell’intercettare il volo di un cigno nero.
Infine, se il Cigno nero è per sua natura imprevedibile, qual è l’unico modo per preparare l’organizzazione alla sua apparizione? Ecco perché i punti 7.2 – Competenza e 7.3 – Consapevolezza rappresentano forse il fulcro di ogni sistema di gestione. L’unico modo per reagire prontamente agli eventi non conosciuti risiede fondamentalmente nel preparare le persone ad un ragionamento attivo, sorpassando ampiamente la limitazione della sola comprensione delle regole imposte, e traghettandole verso la capacità di vedere piuttosto che guardare, fornendo loro gli adeguati strumenti per interpretare la realtà.
Non è solo teoria sui sistemi di gestione, non è pour parler. E’ l’occasione di agire in modo diverso, adattando la struttura e le attività delle organizzazioni ad un nuovo modello focalizzato sul cambiamento. Il modello precedente, per chi non se ne fosse reso conto, si è esaurito da un bel po’. La nuova 9001, se letta in modo intelligente, è un valido punto di partenza.