In questo quintoarticolo vedreno in dettaglio i requisiti del capitolo 9  (Valutazione delle prestazioni) e 10 (Miglioramento) della norma UNI EN ISO 9001:2015 con particolare riguardo alle novità introdotte rispetto alla precedente versione del 2008 ed alle possibili modalità di attuazione dei nuovi requisiti, per il passaggio del sistema di gestione per la qualità ISO 9001:2008 alla ISO 9001:2015.

9 Valutazione delle prestazioni

La sezione 9 della norma si suddivide in tre paragrafi

• 9.1 Monitoraggio, misurazione, analisi e valutazione
• 9.2 Audit interno
• 9. 3 Riesame di direzione

che rappresentano il “cuore” dell’attività di quality management, i cui compiti spesso sono completamente demandati alla funzione Qualità delle organizzazioni di medie e piccole dimensioni, sebbene il riesame del sistema rimanga una responsabilità della Direzione stessa.

Il punto 9.1 a sua volta è suddiviso in:

• 9.1.1 Generalità: l’organizzazione deve stabilire cosa, quando e come monitorare e misurare per garantire l’efficacia del sistema di gestione ed il soddisfacimento dei requisiti; inoltre deve stabilire come valutare i risultati del monitoraggio e delle misurazioni, conservandone informazioni documentate come evidenze.
• 9.1.2 Soddisfazione del cliente: occorre monitorare la percezione che ha il cliente del rispetto delle sue esigenze ed aspettative, stabilendo metodi e criteri di valutazione dei risultati.
• 9.1.2 Analisi e valutazione: occorre analizzare e valutare i dati delle misurazioni e dei monitoraggi effettuati per valutare il raggiungimento degli obiettivi, la conformità dei prodotti, la soddisfazione delle esigenze del cliente, le prestazioni dei fornitori, la corretta attuazione di quanto pianificato, l’efficacia del sistema di gestione e delle azioni intraprese per il miglioramento, nonché per valutare le esigenze di miglioramento.

Anche su questi punti la domanda che ci si deve porre è: «quello che l’organizzazione ha stabilito di implementare è efficace e sufficiente per soddisfare i requisiti della norma?». Anche riguardo all’impiego di metodi statistici la norma offre la possibilità di utilizzarli, non certo l’obbligo.

Sicuramente traspare maggiore enfasi sul monitoraggio e la misurazione dei processi rispetto alle precedenti edizioni della norma ISO 9001, ma sarà sufficiente per imporre alle organizzazioni di adottare sistemi di misurazione e monitoraggio, nonché relativi indicatori, più efficaci e realmente vissuti come essenziali per governare i processi?

Il requisito 9.2 relativo agli audit interni (ex verifiche ispettive) non presenta significative differenze rispetto all’edizione del 2008: gli audit devono essere svolti per verificare la conformità alla norma ISO 9001 ed al sistema di gestione per la qualità, nonché l’efficacia dello stesso. Essi devono essere programmati secondo i medesimi criteri esposti in passato, anche con riferimento alla ISO 19011. Per dimostrare che si sono stabiliti requisiti di pianificazione e reporting la stesura o il mantenimento della procedura sulla conduzione degli audit interni è fortemente consigliata, anche se non più obbligatorio.

Occorre forse ribadire che la frequenza degli audit sui processi primari e più critici forse non è opportuno che sia di una sola volta all’anno, come per i processi secondari o di supporto. L’abitudine di molte organizzazioni di effettuare un solo audit completo poco prima che arrivi l’Ente di Certificazione non è proprio in linea con lo spirito della norma.

Nessuna novità rispetto al requisito di imparzialità ed indipendenza dell’auditor; piuttosto si enfatizza il fatto che correzioni e/o azioni correttive conseguenti ai rilievi dell’audit devono essere intraprese senza indebiti ritardi. Quanto tempo può essere concesso per chiudere i rilievi importanti emersi in fase di audit? L’inerzia di molti responsabili di funzione nel non voler affrontare “i problemi della qualità” dovrebbe essere adeguatamente sanzionata.

Infine il requisito 9.3 sul riesame della direzione (suddiviso nei paragrafi 9.3.1 Generalità, 9.3.2 Input al riesame di direzione e 9.3.3 Output del riesame di direzione) è stato spostato dalle Responsabilità della Direzione della precedente edizione della norma a questo capitolo di Valutazione delle prestazioni del sistema di gestione per la qualità, anche se la responsabilità dei risultati del riesame ricade in capo all’alta direzione. Gli input al riesame sono stati estesi, naturalmente alla valutazione dei cambiamenti dei fattori interni ed esterni che influenzano il sistema di gestione ed all’efficacia delle azioni intraprese per affrontare rischi ed opportunità, ovvero alle principali novità della norma.

L’output del riesame deve trattare le modifiche che si rendono necessarie al sistema, le opportunità di miglioramento e le risorse necessarie.

Naturalmente sono richieste evidenze documentali dello svolgimento del riesame (dati in input, verbali di riunione di riesame del sistema, programmi di miglioramento, ecc.); la procedura non è necessaria (non lo era nemmeno nella precedente versione del 2008), ma chi ce l’ha se la tenga.

10 Miglioramento

Questa sezione si suddivide in tre paragrafi, nel primo 10.1 Generalità si riassume che il miglioramento deve riguardare:

• Prodotti e servizi erogati, non solo limitatamente al soddisfacimento delle esigenze attuali di conformità degli stessi, ma anche in previsione di esigenze ed aspettative future;
• Correzione, prevenzione e riduzione di ogni effetto indesiderato (NC, indicatori non soddisfacenti, ritardi di consegna, maggiori costi, ecc.);
• Il miglioramento delle prestazioni e dell’efficacia dello stesso sistema di gestione per la qualità che, dunque, deve essere dinamico e non statico nei secoli dei secoli.

Il successivo paragrafo 10.2 tratta le Non conformità ed azioni correttive, tornate di nuovo insieme per focalizzare l’attenzione sugli aspetti di miglioramento del processo di gestione delle NC, le quali, per la fase di gestione del trattamento, sono rimaste insieme ai processi produttivi (si veda § 8.7 “Controllo degli output non conformi”).

Alle organizzazioni è richiesto di reagire prontamente alle non conformità per tenerle sotto controllo e correggerle, anche al fine di evitare effetti negativi gravi, sia interni che esterni (dal cliente). Le fasi successive di analisi delle cause (di NC, problemi in genere, rilievi da audit, reclami, ecc.), determinazione delle azioni correttive, pianificazione ed attuazione delle stesse e, infine, di valutazione della loro efficacia, sono sostanzialmente le stesse rispetto alle edizioni precedenti della norma, ma con maggiore enfasi sul processo stesso di gestione del ciclo di miglioramento che si avvicina al c.d. metodo 8D del settore automotive.

L’ultimo paragrafo della norma ISO 9001:2015 – il 10.3 Miglioramento continuo – si ricollega al punto 10.1 di cui sopra, ai risultati del riesame di direzione ed a tutte le informazioni derivanti dalla valutazione delle prestazioni del sistema di gestione per la qualità per determinare la necessità di migliorare in modo continuativo l’efficacia del sistema di gestione, considerando anche le opportunità di miglioramento emerse dalle altre attività del capitolo 9 della norma stessa.

Con questo articolo si conclude l’analisi dei requisiti della nuova norma ISO 9001:2015. Alcune interpretazioni soggettive potranno sicuramente essere smentite dai fatti a fronte di nuove interpretazioni ufficiali (al momento in Italia è disponibile solamente una Linea guida pubblicata da CONFORMA con il patrocinio dell’UNI) e prassi di fatto adottate dagli Organismi di Certificazione, comunque sotto il controllo di ACCREDIA. Vedremo anche se l’Ente di Accreditamento stesso vorrà replicare la pubblicazione delle linee guida (Criteri per un approccio efficace ed omogeneo alle valutazioni di conformità alla norma ISO 9001:2008 “Sistemi di gestione per la qualità – Requisiti”) emesse per le due precedenti edizioni della norma e, quindi, se saranno disponibili maggiori dettagli applicativi per gli auditor che dovranno valutare i SGQ delle organizzazioni.

In questo quarto articolo vedreno in dettaglio i requisiti del capitolo 8  (Attività operative) della norma UNI EN ISO 9001:2015 con particolare riguardo alle novità introdotte rispetto alla precedente versione del 2008 ed alle possibili modalità di attuazione dei nuovi requisiti, per il passaggio del sistema di gestione per la qualità ISO 9001:2008 alla ISO 9001:2015.

8 Attività operative

Le “operations” sono il cuore dei processi primari e della norma, ma forse il capitolo con minori modifiche rispetto alla edizione precedente della ISO 9001.

La Pianificazione e controllo operativi (8.1) non richiede nulla di più di quello che è necessario per pianificare e tenere sotto controllo i processi necessari al fine di garantire la conformità di prodotti e servizi. Le informazioni documentate da mantenere (procedure, programmi della produzione, piani della qualità, piani di controllo, piani di progetto, …) e conservare (rapporti di controllo, registrazioni di verifiche, controlli, validazioni, ecc.) sono “quelle che servono”: come esposto in altri punti sta alla responsabilità dell’azienda dimostrare che realizza ciò che ha pianificato, ovviamente in conformità ai requisiti specificati.

Il punto Requisiti per i prodotti e i servizi (8.2) comprende tutti i requisiti relativi ai “processi relativi al cliente” della precedente edizione della norma ed amplifica il suo raggio di azione. I sotto paragrafi trattano i seguenti aspetti, tutti finalizzati ad un’appropriata definizione dei requisiti del prodotto e/o servizio:

• Comunicazione con il cliente: tratta la corretta gestione di tutte le informazioni che transitano fra organizzazione e propri clienti (offerte, ordini, contratti, cataloghi, listini, depliant, siti web, specifiche, reclami, segnalazioni, ecc.).
• Determinazione dei requisiti relativi ai prodotti e servizi: poche parole, ma molto chiare dovrebbero far capire che devono essere definiti requisiti per prodotti e servizi comprendenti aspetti cogenti e requisiti stabiliti dall’organizzazione stessa che deve poi dimostrare di essere in grado di offrire al cliente quello che promette.
• Riesame dei requisiti relativi ai prodotti e servizi: tutti i requisiti stabiliti dal cliente, dall’organizzazione e da normative cogenti devono essere riesaminati per assicurare di avere la capacità di soddisfarli.
• Modifiche ai requisiti per i prodotti e servizi: le variazioni ai requisiti del prodotto/servizio devono essere gestite aggiornando documentazione e trasferendo le informazioni necessarie a chi di dovere.

Anche in questo caso le informazioni documentate necessarie sono quelle che servono e la procedura documentata non è richiesta, ma opportuna nel momento in cui si vuole stabilire delle regole interne. L’audit di questo elemento non dovrebbe essere difficile, come non dovrebbe essere raro rilevare le promesse consapevolmente non mantenute o non mantenibili, le dichiarazioni di requisiti incomplete, le presentazioni eccessivamente autoincensanti, l’assenza di risorse adeguate per soddisfare i tempi di consegna confermati e così via. Il problema è capire se e come verranno registrate, ovvero qual è il limite fra la conformità e la non conformità?

Anche il punto 8.3 Progettazione e sviluppo di prodotti e servizi è una riscrittura, probabilmente più completa ed efficace, dell’ex punto 7.3 della norma del 2008.

I punti trattati sono i seguenti:

• Generalità: il processo di progettazione deve essere appropriato alla successiva fornitura di prodotti e servizi conformi.
• Pianificazione della progettazione e sviluppo: non si rilevano particolari novità rispetto alla versione precedente, ma tutto deve essere considerato nel pianificare il processo di progettazione, comprese la partecipazione del cliente ai controlli della progettazione e le esigenze delle altre parti interessate (es. collettività ed utenti finali).
• Input alla progettazione e sviluppo: i dati di ingresso al processo di progettazione devono comprendere tutti gli aspetti importanti, comprese le potenziali conseguenze negative di un guasto sul prodotto e le norme ed i codici di condotta che l’organizzazione si è impegnata a rispettare.
• Controlli della progettazione e sviluppo: in un’unica voce (“controlli”) sono compresi riesami, verifiche e validazioni delle precedenti edizioni della norma ISO 9001.
• Output della progettazione e sviluppo: anche per questo elemento non ci sono variazioni salienti rispetto alla ISO 9001:2008 in quanto è richiesto che gli elementi in uscita dalla progettazione siano completi e univoci e comprendano i criteri di monitoraggio e controllo del successivo processo di realizzazione.
• Modifiche della progettazione e sviluppo: nulla di significativamente diverso rispetto alla precedente edizione della norma, le modifiche progettuali devono essere gestite in modo adeguato.

Il successivo punto 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno equivale come contenuti al punto 7.4 (Approvvigionamento) delle edizioni precedenti (2000 e 2008) della norma.

Nel primo sottopunto (Generalità) viene chiarito che quando il prodotto/servizio di un fornitore esterno viene incorporato nel prodotto/servizio venduto al cliente, oppure viene fornito direttamente al cliente dal fornitore stesso (subappalto) o quando un processo o parte di esso viene fornito dal fornitore (in outsourcing), è necessario stabilire controlli efficaci su tali forniture, qualificare, valutare e rivalutare periodicamente il fornitore, ovvero monitorare costantemente le prestazioni dei fornitori e conservare informazioni documentate su tali attività.

Il Tipo ed estensione del controllo sul fornitore deve essere pianificato in funzione dell’influenza che la fornitura ha sulle capacità dell’organizzazione di fornire con regolarità prodotti e servizi conformi ai requisiti stabiliti.

Le informazioni ai fornitori esterni devono essere complete di tutti gli aspetti relativi alla fornitura, compresi specifiche di controllo, qualifiche del personale, tempi, requisiti di assicurazione qualità. Di fatto non ci sono state variazioni significative rispetto all’edizione del 2008.

Il punto 8.5 Produzione ed erogazione dei servizi è abbastanza simile al punto 7.5 della precedente versione della norma. Il sottopunto 8.5.1 (Controllo della produzione e dell’erogazione dei servizi) torna a distinguere fra processi produttivi e di erogazione di servizi e richiede esplicitamente informazioni documentate per definire le attività da svolgere ed i risultati da conseguire: a seconda dei casi le organizzazioni dovranno definire procedure, programmi di produzione, piani di controllo, piani della qualità o quant’altro ritenuto necessario per tenere sotto controllo la produzione o il processo di erogazione del servizio. Fra gli aspetti nuovi si segnala la necessità di intraprendere azioni che prevengano gli errori umani: non si tratta dei “sistemi a prova di errore” della specifica tecnica ISO/TS 19649 per l’automotive, ma si va verso quella direzione.

Il successivo 8.5.2 (Identificazione e rintracciabilità) non presenta modifiche significative rispetto alla edizione 2008.

Invece le Proprietà che appartengono ai clienti o ai fornitori esterni (8.5.3) estendono il requisito della precedente edizione della norma alle proprietà dei fornitori (ma in realtà il materiale giunto non conforme dal fornitore andava notificato allo stesso anche nelle precedenti edizioni della norma), modernizzando un po’ il requisito stesso in quanto oggi sono diventate sempre più importanti le proprietà intellettuali, la protezione dei dati personali ed in generale tutta la gestione delle informazioni in formato digitale, spesso gestite con troppa superficialità.

Nel sottopunto 8.5.4 viene trattato il requisito relativo alla Preservazione degli output dei processi produttivi e di erogazione dei servizi, impiegando un termine forse un po’ infelice (in lingua italiana) per indicare, di fatto, gli stessi requisiti che comparivano nelle precedenti edizioni della norma quando si parlava di “conservazione dei prodotti”, di “movimentazione”, “immagazzinamento”, “imballaggio”, ecc., comprendendo anche le fasi di trasporto e consegna, quando sotto responsabilità dell’Organizzazione. Ora in due righe si sintetizzano tutti i concetti.

Le Attività post-consegna sono trattate al sottopunto 8.5.5 che rappresenta un requisito innovativo (per la verità implicito nella precedente edizione della norma), anche se di fatto viene ripristinato il requisito 4.18 dell’edizione del 1994 ampliandolo e non riducendolo solo all’assistenza. Oggi, infatti, l’assistenza post-consegna, che comprende assistenza in garanzia, su contratto, supporto nell’utilizzo del prodotto, gestione dell’eventuale smaltimento e di problematiche legate al ritiro dei prodotti non conformi, comunicazioni e così via, è diventata estremamente importante per la percezione di qualità che ha il cliente di un’organizzazione.

Il successivo sottopunto 8.5.6 (Controllo delle modifiche) costituisce un nuovo requisito che vuole porre l’attenzione delle organizzazioni sulla corretta gestione di tutte le modifiche (pianificate e impreviste) alle specifiche di un prodotto/servizio o alla sua realizzazione. Occorre definire compiti e responsabilità per il riesame delle stesse e conservare informazioni documentate per attestare la corretta gestione delle modifiche.

Nel paragrafo Rilascio di prodotti e servizi (8.6) la norma specifica che l’organizzazione deve verificare – in fasi appropriate – che sia stato attuato quanto pianificato nella produzione di prodotti ed erogazione di servizi. In particolare, prima di rilasciare il prodotto al cliente occorre accertarsi che tutto quanto era stato pianificato (lavorazioni, elaborazioni, controlli, test, ecc.) sia stato effettivamente completato soddisfacentemente per garantire la conformità del prodotto/servizio ai requisiti stabiliti. L’unica eccezione è data dall’approvazione di una “Autorità competente” o del cliente a rilasciare comunque un prodotto, ad esempio, non completamente controllato.

Su questo punto la norma richiede evidenze documentali:

• dei controlli effettuati, a fronte di criteri di accettazione stabiliti, per il rilascio dei prodotti;
• del riferimento alla/e persona/e che ha effettuato il rilascio del prodotto/servizio.

Questo requisito, come il successivo 8.7 (Controllo degli output non conformi), pur considerando le differenze di struttura tra le due edizioni della norma, sono stati di fatto spostati fra le Attività operative (ex capitolo 7) dalle Valutazioni delle prestazioni (analogo all’ex capitolo 8 dell’edizione del 20008 della norma).

Relativamente alle non conformità è stata esplicitata la necessità di intraprendere azioni correlate alla natura della non conformità ed ai suoi effetti; tra esse la semplice correzione, la segregazione, il contenimento degli effetti e l’informazione al cliente, ad esempio, che parte dei lotti consegnati possa risultare non conforme, se ci si accorge di un problema dopo la consegna del prodotto al cliente.

Naturalmente le NC vanno gestite anche durante lo svolgimento del processo produttivo o l’erogazione del servizio, in qualunque fase esse si verifichino. Infine, è necessario conservare informazioni documentate sulle NC rilevate e sulla loro gestione, come era richiesto nella precedente versione della norma.

(continua)

In questo terzo articolo affronteremo il capitolo 7 Supporto della norma UNI EN ISO 9001:2015 con particolare riguardo alle novità introdotte rispetto alla precedente versione del 2008 ed alle possibili modalità di attuazione dei nuovi requisiti, per il passaggio del sistema di gestione per la qualità ISO 9001:2008 alla ISO 9001:2015.

7 Supporto

Questa sezione, completamente nuova come titolo, ma non come contenuti, è direttamente figlia della HLS delle norme sui sistemi di gestione. Essa raccoglie diversi elementi afferenti ai cosiddetti processi di supporto di una organizzazione: gestione delle risorse umane, know-how, sistemi informativi, documenti e dati, dispositivi di monitoraggio e misura, macchinari/attrezzature ed altre apparecchiature hardware, ecc.

L’organizzazione deve sempre determinare le necessità di risorse per il funzionamento dei processi e metterle a disposizione, considerando le capacità delle risorse esistenti, i vincoli che gravano su di esse e ciò che può essere demandato a fornitori esterni.

Anche solo nel paragrafo Generalità di questa sezione si va più a fondo rispetto alle precedenti edizioni della norma su concetti fondamentali quali la disponibilità di risorse adeguate per perseguire gli obiettivi stabiliti, garantire la conformità dei processi e dei prodotti realizzati o servizi erogati. Forse parte delle PMI italiane non saranno pienamente conformi ai requisiti della norma, infatti chi ha messo a disposizione le risorse adeguate per soddisfare gli obiettivi?

Nei paragrafi successivi la norma ISO 9001:2015 non fa che ribadire che devono essere messe a disposizione le Persone (le risorse umane sono ritornate ad essere persone) e le Infrastrutture (edifici, macchinari, attrezzature, risorse tecnologiche, risorse per il trasporto…) necessarie per l’efficace attuazione del sistema di gestione per la qualità, il funzionamento e controllo dei processi e per ottenere la conformità dei prodotti e servizi ai requisiti.

Anche l’Ambiente per il funzionamento dei processi deve essere adeguato a quanto sopra ed addirittura la norma, nelle note esplicative per chiarire cosa si intende per “ambiente”, fa riferimento a principi etici, aspetti sociali e psicologici, oltre che fisici (temperatura, illuminazione, rumore, ecc.). L’ambiente, infatti, comprende quelle variabile che possono influenzare il benessere ed il comportamento delle persone che hanno relazione direttamente o indirettamente con l’impresa.

Le tematiche esposte ai punti 7.1.2, 7.1.3 e 7.1.4 della norma sopra citati sono da considerarsi piuttosto delicate da verificare in fase di audit, perché si rischia di sconfinare nella normativa sul lavoro (Persone), sulla sicurezza (Persone e Infrastrutture) e sull’ambiente (Ambiente per il funzionamento dei processi e Infrastrutture). I confini fra i requisiti dei sistemi di gestione per la qualità ed i requisiti cogenti non inerenti i prodotti e servizi realizzati sono sempre stati mantenuti solidi e invalicabili da ACCREDIA e dagli Organismi di Certificazione, ma ora la norma del 2015 entra più nello specifico e ci pone degli interrogativi:

• Come è possibile essere conformi alla ISO 9001:2015 se non si rispettano le norme legate ai contratti di lavoro per fornire al cliente un servizio il cui livello qualitativo non può essere garantito dal personale incaricato in termini di risorse messe a disposizione, tempi di consegna, garanzia di continuità del servizio?
• Come si può pensare di garantire un ambiente di lavoro e relativi processi conformi alla ISO 9001:2015 se le apparecchiature non sono manutenute e gestite almeno osservando i requisiti cogenti del D.Lgs 81/2008 e s.m.i.?
• Quale conformità ai requisiti ISO 9001:2015 si può credere di garantire se le condizioni di lavoro del personale non sono coerenti con le norme sulla “sicurezza e salute dei lavoratori” e con principi etici condivisi (trattamenti discriminatori, rispetto della privacy, lavoro sotto stress eccessivo… la norma cita addirittura sindrome da burnout)?

È necessario stabilire con chiarezza fino a che punto spingersi in fase di audit di certificazione su questi aspetti e, soprattutto, quali saranno le competenze richieste agli auditor per eventualmente investigare su aspetti cogenti non di loro normale pertinenza.

Qualunque siano le eventuali specificazioni di ACCREDIA su questo argomento (in assenza di esse varrebbe quanto stabilito per le precedenti versioni della norma), certe situazioni “consapevolmente non conformi” per assenza di evidenze oggettive di conformità a requisiti cogenti, sarebbe corretto rilevarle.

Le Risorse per il monitoraggio e la misurazione del punto 7.1.5 della nuova norma sono gli ex “dispositivi di monitoraggio e misurazione” del § 7.6 della norma ISO 9001:2008, ovvero, per molte aziende, i classici strumenti di misura.

Nei sotto paragrafi Generalità e Riferibilità delle misurazioni di questo punto non vi sono particolari novità rispetto alla precedente edizione della norma: occorre mettere a disposizione risorse adeguate (non solo legate alla strumentazione di misura) a garantire l’affidabilità delle misure e, ove richiesto, la riferibilità metrologica delle attività di taratura, calibrazione e controllo degli strumenti. Per dare evidenza di tutto ciò continuano ad essere richieste informazioni documentate.

Il punto 7.1.5 della norma tratta la Conoscenza organizzativa e costituisce una novità assoluta di questa edizione della norma, anche se alcuni concetti erano comunque insiti in altri punti della vecchia norma. Viene data l’importanza che merita alle conoscenze del funzionamento dell’organizzazione stessa e dei suoi processi da parte delle persone che vi operano, anche con ruoli di responsabilità. Il valore dell’esperienza delle persone, delle informazioni che costituiscono proprietà intellettuale dell’impresa e le conoscenze e capacità tecniche e gestionali che possono essere acquisite dall’esterno attraverso formazione, acquisizione di informazioni documentate o altro deve essere gestito in modo adeguato, identificando le necessità, colmando le carenze, proteggendo il know-how aziendale ecc.

Il requisito relativo alla Competenza delle persone non è sostanzialmente mutato rispetto alla precedente versione della norma, ma ora è più chiaro che è responsabilità dell’organizzazione assicurarsi che anche il personale esterno (collaboratori a contratto, consulenti) e del fornitore disponga delle competenze adeguate a svolgere le attività cui è preposto e, quindi, provvedere, se necessario, all’acquisizione delle competenze che risultano carenti. Su questo punto dell’acquisizione delle competenze la norma non prescrive di colmare le lacune solamente attraverso la formazione e l’addestramento del personale, questo è solo uno dei modi possibili.

Il requisito della Consapevolezza, senza variazioni significative rispetto alla versione 2008 della norma, viene enfatizzato (è elevato a requisito a sé): il personale deve essere consapevole degli effetti, sia positivi, che negativi, del suo operato sull’efficacia del sistema qualità e sul conseguimento della conformità dei prodotti e servizi.

La consapevolezza può essere ottenuta attraverso diversi metodi: riunioni, formazione, condivisione di non conformità e problemi rilevati (per imparare dall’esperienza), comunicazioni interne, ecc. Da parte dell’auditor, invece, la consapevolezza può essere dimostrata – oppure no – attraverso le interviste al personale e le verifiche incrociate con input/output di altri processi rispetto a quello sotto esame.

Anche la Comunicazione assume maggiore importanza in questa edizione della norma: l’organizzazione deve determinare cosa, come, quando, a chi e che cosa comunicare, sia internamente che esternamente alle parti interessate. Tutte le comunicazioni, interne ed esterne, dovranno essere coerenti con obiettivi ed altri requisiti del sistema di gestione.

Il punto 7.5 della norma tratta delle Informazioni documentate, ovvero dei documenti e delle registrazioni delle precedenti versioni della norma. In questa edizione, però, non è solo il nome a cambiare (il termine “informazioni” ricorda maggiormente le norme ISO 27000 sulla sicurezza delle informazioni), infatti il requisito lascia un maggior grado di libertà alle organizzazioni poiché il sistema di gestione per la qualità deve comprendere:

• le informazioni documentate richieste dalla norma, che sono in numero inferiore alle precedenti edizioni e non sono richieste procedure obbligatorie e nemmeno il manuale qualità lo è.
• Le informazioni documentate stabilite come necessarie dall’organizzazione.

Sebbene la norma lasci ad ogni singola organizzazione la scelta di quali documenti di tipo procedurale (manuale, procedure, istruzioni, piani della qualità, ecc.) mantenere in funzione delle dimensioni dell’organizzazione, della complessità ed articolazione dei processi, delle competenze delle persone, ecc. credo siano pochi i casi di aziende che possono ritenere non necessarie alcune procedure relative a processi primari o processi di supporto per i quali il personale non dispone di sufficienti competenze per gestirli in modo conforme alla norma.

La norma spiega in appendice (vedasi precedente articolo) la differenza fra “mantenere informazioni documentate” e “conservare informazioni documentate”. In ogni caso la norma indica puntualmente quali informazioni documentate è necessario conservare e non si riscontrano particolari differenze rispetto al passato.

Nei paragrafi 7.5.2 (Creazione e aggiornamento) e 7.5.3 (Controllo delle informazioni documentate) non sono riportate novità sostanziali rispetto alle precedenti edizioni della norma, ma solo una riscrittura dei requisiti in ottica più attuale, con maggiore enfasi sulla gestione sicura delle informazioni (va garantita la riservatezza e l’integrità, nonché il controllo delle versioni). Anche per le informazioni documentate di origine esterna (norme e leggi, specifiche del cliente, …) valgono le stesse regole. Da segnalare il fatto che non è più richiesto esplicitamente un tempo di conservazione per le informazioni documentate.

Rispetto al passato questo punto dovrà essere attuato con maggior rigore per quanto riguarda le informazioni in formato digitale, in quanto alcune di esse sono molto critiche per il funzionamento dei processi, per preservare il know-how aziendale e le proprietà del cliente.

Nel complesso la sezione 7 della norma ha migliorato significativamente l’omogeneità di gestione di tutti quei processi di supporto presenti in molte imprese che raccolgono le procedure (e relativi processi/attività) riguardanti: gestione delle risorse umane, gestione delle risorse tecniche/manutenzione attrezzature, gestione degli strumenti, gestionde della documentazione, comunicazioni interne, ecc..

(continua)

In questo primo articolo di approfondimento affrontiamo in dettaglio alcuni capitoli della nuova norma ISO 9001:2015, iniziando dall’Appendice che ci fornisce indicazioni su alcuni aspetti di novità della norma per i sistemi di gestione per la qualità nell’edizione di settembre 2015 rispetto alla precedente versione del 2008.

Comprendere le esigenze e le aspettative delle parti interessate

L’identificazione di tutte le parti interessate all’attività dell’organizzazione e l’individuazione delle loro esigenze non costituisce un concetto nuovo per le norme della famiglia ISO 9000, ma ora, con l’edizione 2015 della ISO 9001, entra di diritto fra i requisiti della norma. Nell’appendice A.3 della norma viene però chiarito che l’organizzazione deve identificare quali soggetti (stakeholders) sono interessati all’attività dell’organizzazione e quali sono i loro requisiti ed esigenze. Fra le parti interessate classiche vi sono i dipendenti e collaboratori dell’organizzazione, i fornitori esterni, la proprietà ed i soci, la collettività. Le loro esigenze potrebbero essere anche in contrasto fra loro, ma la norma non richiede espressamente di soddisfare anche le esigenze delle parti interessate, oltre a quelle del cliente; chiede solo di identificarle e di valutare il loro impatto sull’attività dell’organizzazione e sul campo di applicazione del sistema qualità. Conseguentemente sta all’organizzazione stessa stabilire quali parte interessate e quali esigenze delle stesse eventualmente mirare a soddisfare e come.

Risk based thinking

Questo è il principale aspetto innovativo della nuova edizione della norma, anche se il concetto non era completamente assente nelle precedenti edizioni. Il risk based thinking è un approccio alla progettazione, attuazione e documentazione del sistema di gestione finalizzato alla prevenzione degli eventi negativi (non conformità, reclami, ritardi di consegna, interruzioni della produttività e dei servizi, ecc.) che potrebbero accadere con maggiore probabilità e con impatto e conseguenze maggiormente negative. Proprio per le finalità preventive del risk based thinking è stato eliminato un punto specifico sulle azioni preventive, che dovranno confluire nel più ampio spettro delle azioni di miglioramento pianificate.

Tornando al risk based thinking, la valutazione che l’organizzazione deve effettuare sui propri rischi di business avviene a valle dall’analisi del contesto dell’organizzazione, in quanto solo analizzando in dettaglio il contesto nel quale si muove l’organizzazione (mercato, clienti, area geografica, Stato e suoi regolamenti e leggi, personale, fornitori, ecc.) è possibile identificare i rischi reali che potrebbero influenzare i processi di business dell’organizzazione. La norma non può – e peraltro non potrebbe – stabilire una metodologia specifica per la valutazione dei rischi e lascia all’organizzazione il compito di scegliere un metodo di analisi e valutazione dei rischi e, conseguentemente, le azioni di trattamento per eliminare, ridurre o mitigare suddetti rischi. Stando ai requisiti del punto 6.1 l’organizzazione è responsabile della propria applicazione del risk based thinking e, oserei dire purtroppo – può decidere se documentare, e come farlo, il processo di determinazione dei rischi. È, questo, forse il principale punto controverso della nuova norma, probabilmente anche perché costituisce un elemento di novità, in quanto non è chiaro – alle organizzazioni ed ai loro consulenti ed agli auditor degli organismi di certificazione – quale metodologia è idonea per la valutazione dei rischi. In altre parole: i metodi noti e sicuramente adeguati di valutazione dei rischi sono numerosi (si veda ad es. la serie ISO 31000), ma le organizzazioni e gli auditor degli organismi di certificazione si chiedono “qual è il livello minimo di valutazione dei rischi” che garantisce la conformità alla norma? Questo poichè molte organizzazioni, soprattutto di piccole dimensioni, chiedono cosa devono fare per “raggiungere la sufficienza”, anche perché credono che ciò comporti un impegno, e quindi un costo, inferiore. Dall’altra parte come faranno gli auditor a valutare il grado di conformità di un metodo o di un approccio, soprattutto se non è richiesta un’esplicita evidenza documentale?

Informazioni documentate

La nuova terminologia va a sostituire i termini documenti, manuale qualità, procedure, istruzioni, registrazioni ecc… Al di là di questo l’impatto sul sistema qualità è diverso perché non è più richiesto uno specifico documento (ad es. manuale o procedure) per documentare un determinato aspetto (informazioni documentate da mantenere), mentre le registrazioni, ovvero le evidenze che vengono raccolte e conservate per mostrare che le cose si sono svolte in un determinato modo, sono semplicemente informazioni documentate da conservare.

Conoscenza organizzativa

È un aspetto molto importante e spesso sottovalutato dalle aziende e causa di numerosi problemi. La norma richiede, al punto 7.1.6, di determinare e gestire le conoscenze in possesso dell’organizzazione, che spesso risiedono nelle menti delle persone, nei sistemi informativi e negli archivi su supporto cartaceo. Anche in questo caso non è semplice determinare il livello di conformità in modo oggettivo senza sconfinare nel semplice parere, visto che anche su questo aspetto occorre gestire il rischio di perdere queste conoscenze, difficilmente quantificabile.

Torniamo ora all’inizio della norma ed esaminiamo le sezioni partendo dal principio.

0 Introduzione

L’adozione di un sistema di gestione per la qualità e di certificarlo secondo la norma ISO 9001 è una decisione strategica dell’organizzazione, che pertanto dovrebbe agire consapevolmente in relazione ai vantaggi che tale sistema potrebbe apportare all’efficacia ed all’efficienza dell’intera organizzazione ed alla soddisfazione dei clienti.

In questa sezione vengono trattati:

• il ciclo PDCA;
• l’approccio per processi;
• il risk based-thinking e la gestione di rischi e opportunità;

1 Scopo e campo di applicazione

La norma specifica i requisiti per un sistema di gestione quando un’organizzazione voglia dimostrare di essere in grado di fornire con regolarità prodotti e/o servizi conformi ai requisiti del cliente e miri ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema stesso.

2 Riferimenti normativi

La norma fa riferimento alla ISO 9000:2015 relativa ai “Fondamenti e Vocabolario”. In appendice si specifica poi la non obbligatorietà a fare riferimento alle definizioni ufficiali ISO 9000 nell’ambito dei sistemi qualità delle singole organizzazioni. Gli auditor sono avvisati.

3 Termini e definizioni

Si fa riferimento alla sopra citata ISO 9000:2015.

4 Contesto dell’organizzazione

In questa sezione la norma richiede di comprendere l’organizzazione ed il suo contesto, ovvero determinare quei fattori esterni ed interni che influenzano la sua attività ed i relativi risultati da conseguire. Di tali fattori occorre monitorare e riesaminare le informazioni che ne derivano e che possono influenzare il sistema di gestione.

In questo ambito occorre considerare il mercato nel quale opera l’organizzazione, i suoi clienti e le relative esigenze, il contesto normativo e legislativo applicabile, l’ambiente circostante ed il contesto socio-economico del Paese in cui agisce l’organizzazione, cultura e conoscenze dell’organizzazione, tecnologie, ecc…

Da questo punto della norma derivano sicuramente le leggi, le norme ed altri requisiti cogenti applicabili e tutte le condizioni al contorno che influenzano, positivamente o negativamente, l’attività.

L’organizzazione dovrà poi comprendere le esigenze e le aspettative delle parti interessate, dopo aver individuato queste ultime (clienti, personale interno, fornitori, proprietà, collettività, investitori, …) ed aver identificato i loro requisiti, proprio per l’impatto che possono avere sulla capacità di fornire prodotti e/o servizi conformi ai requisiti (del cliente e cogenti applicabili).

Precisato che le parti interessate da individuare sono solamente quelle rilevanti per l’attività svolta dall’organizzazione, si dovrà monitorare e riesaminare le informazioni provenienti da suddette parti interessate.

L’analisi del contesto non sarà statica, ma dinamica, in quanto il contesto dell’organizzazione potrà mutare di anno in anno e, quindi, dovrà essere riesaminato, ad esempio in occasione del riesame della direzione, svolto a frequenza prefissata.

A valle dell’analisi del contesto e delle aspettative delle parti interessate occorrerà determinare il campo di applicazione del sistema di gestione per la qualità.

Nel determinare i confini e l’applicazione del Sistema di gestione per la Qualità l’organizzazione dovrà considerare i fattori relativi al contesto esposti in precedenza.

Il campo di applicazione del sistema dovrà essere documentato e dovrà comprendere i tipi di prodotti e servizi coperti da esso. Non si parla più di esclusioni di punti della norma, ma solo di non applicabilità di requisiti. Tale non applicabilità deve essere giustificata ed è ammessa solo se non influenza negativamente la capacità di fornire prodotti e servizi conformi ai requisiti. Dunque l’esclusione -pardon la non applicabilità – di requisiti pare ammissibile solo se tali elementi sono estranei all’attività dell’organizzazione. La progettazione potrà ritenersi non applicabile solo se veramente non svolta, mentre una partecipazione assieme al cliente ad alcune attività di verifica della progettazione o validazione della stessa durante lo sviluppo del prodotto e del processo dovranno comunque ritenersi compresi nel campo di applicabilità del SGQ.

Infine, alla sezione 4.4, viene trattato il “Sistema di gestione per la qualità ed i relativi processi”. Suddetto paragrafo a cui corrisponde il punto 4 – ed in particolare i sottopunti 4.1 e 4.2.2 – nella precedente edizione della norma ISO 9001:2008, impone alle organizzazioni che vogliono certificarsi di stabilire, attuare, mantenere attivo e migliorare in modo continuativo un sistema di gestione per la qualità. Rispetto ai contenuti della precedente versione della norma è stata data maggior enfasi all’approccio per processi, alla misura dell’efficacia dei processi – anche attraverso la misura ed il monitoraggio degli stessi – ed al miglioramento continuo delle prestazioni. In particolare nella ISO 9001:2015 viene richiesto di:

• determinare gli input necessari e gli output previsti per ciascun processo, le loro interazioni e le risorse ad essi dedicate;
• determinare i metodi, i criteri e gli indicatori per misurare le prestazioni dei processi;
• assegnare le responsabilità e l’autorità per la gestione dei processi.
• considerare i rischi e le opportunità, e le relative modalità di gestione (requisito nuovo, poi dettagliato al § 6.1).

In questo paragrafo, rispetto all’omologo della versione precedente, non viene richiesta documentazione specifica – né manuale qualità, né procedure documentate specifiche -, ma occorre solo mantenere informazioni documentate necessarie e sufficienti a garantire il corretto funzionamento dei processi. La responsabilità di descrivere i processi con procedure, diagrammi di flusso, schede processo o quant’altro è demandata all’organizzazione, mentre sarà compito (impegnativo) degli auditor valutare se tale documentazione è sufficiente a garantire il corretto funzionamento dei processi.

Sicuramente – soprattutto per le PMI – è consigliabile non “buttare via” il manuale qualità, le procedure e tutta la documentazione inerente i processi aziendali prodotta per le precedenti due versioni della norma (si ricorda che con la “Vision 2000” fu introdotto l’approccio per processi, poi rimasto immutato nell’edizione del 2008). Anzi, probabilmente occorrerà descrivere con maggior dettaglio i processi stessi, sicuramente identificandone i rischi e le opportunità, ma anche definendo meglio gli elementi che in passato erano stati trascurati (ad es. indicatori di misura). Infatti, senza una descrizione adeguata dei processi in forma di informazione documentata, difficilmente si riuscirebbe a dimostrare che il processo è gestito e sotto controllo da parte di tutto il personale coinvolto.

(continua)