top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Sistemi di gestione: affinita' e divergenze. E' davvero tutto finalizzato solo ad ottenere un certificato?


Il mondo dei Sistemi di Gestione è in continua evoluzione e sviluppo: sempre più spesso viene richiesto alle società di possedere Sistemi di Gestione certificati (prima Qualità, ora Ambiente, Sicurezza sul Lavoro, Sicurezza delle Informazioni, e a breve Continuità Operativa, IT Service Management, …) per poter partecipare a bandi, concorsi e gare o accedere agli albi fornitori.

Ma l’implementazione di un Sistema di Gestione è realmente un vantaggio competitivo per le aziende o una semplice una moda ed un puro costo che viene sostenuto al solo fine di ottenere e mantenere il “bollino”?

La risposta non è banale e non esiste una verità assoluta: tutto dipende da come si approccia l’implementazione di un Sistema di Gestione.

 

Purtroppo la necessità di implementare Sistemi di Gestione per rispondere a gare o ad esigenze specifiche di marketing sfocia spesso nella creazione di Sistemi di Gestione talvolta affrettata, senza un'attenta pianificazione e in casi estremi senza considerare la presenza di Sistemi di Gestione affini o complementari già esistenti in altri rami d'azienda.

Questi aspetti fanno sì che il Sistema di Gestione sia un puro costo per l’azienda e gli audit di terza parte siano visti come un intralcio alla normale operatività e non come un’opportunità di miglioramento dei processi aziendali.

In questi casi, come già sottolineato in precedenza, tutto il Sistema di Gestione è finalizzato ad ottenere e a mantenere il “bollino”, quindi tutto atto a dimostrare agli auditor che “tutto” va bene. In questi casi spesso le attività cardine del Sistema di Gestione vengono eseguite “ad hoc”: ad esempio il Riesame della Direzione può venir effettuato qualche giorno prima della visita ispettiva senza la presenza del Management facendo “finti” verbali di riunione, o i misuratori di efficacia del Sistema aggiustati o “inventati” per far risultare la bontà del sistema, infine l’audit interno sfruttato per far emergere le criticità più grosse in modo che l’ente di certificazione non possa segnalarle a sua volta se non in forma di Osservazione.

 

Altra problematica dovuta alla proliferazione dei Sistemi di Gestione è il sovrapporsi di requisiti tra le varie normative che spesso fa sì che venga perso il contesto per cui il controllo è stato inserito, andando così ad assolvere il requisito in maniera generica senza pensate alle specificità (Qualità, Sicurezza delle Informazioni, IT Service Management, …).

 

Certamente implementare un Sistema di Gestione non è banale e richiede tempo, risorse ed un investimento economico.

Il Sistema di Gestione può quindi essere un “puro costo” o essere utilizzato e sfruttato per migliorare i processi aziendali ottimizzando così i costi massimizzando il ROI.

 

 

Requisiti simili con obiettivi differenti

Come accennato in precedenza, andando ad analizzare in profondità molte normative ISO si possono trovare differenti affinità tra i vari requisiti. È necessario prestare però molta attenzione e non pensare che assolvendo al requisito di una specifica normativa si assolvano anche i requisiti “simili” presenti nelle altre.

Andando nello specifico, ad esempio, sarebbe un grosso errore pensare che attivando tutti i controlli del capitolo 17 dell’Annex A della ISO/IEC 27001:2013 (Information security management systems - Requirements) si sia “automaticamente” conformi ai requisiti della ISO 22301:2012 (Business continuity management systems - Requirements)

I controlli della ISO/IEC 27001:2013 sono incentrati sulla continuità della Sicurezza delle Informazioni mentre lo standard ISO 22301 si concentra principalmente sul mantenimento della continuità operativa (a livello di processo / servizio) in caso di evento avverso. Nel primo caso ci si concentra quindi sulla Sicurezza delle Informazioni (ad esempio che venga eseguito il backup in un sito alternativo, che ci siano strumenti alternativi per fornire energia, che le informazioni non vengano divulgate a persone non autorizzate in caso di eventi avversi, …) mentre nel secondo il focus principalmente è quello di mantenere attivo il processo di business (tempo di ripristino del servizio, presenza di un sito alternativo, garantire l’incolumità del personale, …).

Altro esempio è relativo al controllo che prevede la formazione periodica del personale coinvolto all’interno del Sistema di Gestione. Se in azienda sono presenti più sistemi classicamente viene fatta una sola sessione di formazione annuale (nei casi migliori) senza andare a soffermarsi sugli aspetti specifici dei sistemi di gestione e dichiarando che la formazione è stata fatta: tale formazione, tuttavia, spesso non è inerente alle attività proprie di ognuno dei sistemi di gestione,

Un ultimo esempio di cattiva interpretazione dei differenti aspetti normativi è quello inerente alla gestione dei fornitori. Negli standard ISO 9001, 27001, 22301, 20000 troviamo requisiti specifici inerenti la gestione delle terze parti coinvolte nel Sistema di Gestione.

Spesso viene effettua tuttavia una valutazione generica del fornitore, utilizzando in molti casi delle check list standard, senza soffermarsi sugli aspetti specifici richiesti per il Sistema di Gestione: ad esempio per assolvere in maniera efficacie al controllo per gli aspetti 9001 sarebbe necessario esaminare l’operato dei fornitori con un focus relativo alla qualità del servizio erogato, per la 27001 è richiesto di valutare come i fornitori trattano le informazioni che elaborano per conto dell’organizzazione (es. rispetto degli NDA), per la 22301 è necessario valutare il ruolo dei fornitori in caso di evento avverso e la loro prontezza di risposta, mentre nel caso della 20000 il focus è incentrato nella valutazione dei livelli di servizio IT erogati dai fornitori.

I quattro aspetti specifici appena illustrati, tuttavia, in alcune parti si sovrappongono: ad esempio il rispetto dei livelli di servizio IT da parte dei fornitori è indice di qualità; similmente l’erogazione di un servizio di qualità prevede una gestione sicura delle informazioni dell’azienda.

 

Nel momento in cui i Sistemi di Gestione su normative differenti sono presenti su uno stesso perimetro è quindi necessario prestare massima attenzione al fine ultimo di ogni controllo, contestualizzandolo per lo specifico ambito e senza generalizzazioni; ciò non vuole dire che debbano essere presenti controlli unicamente differenti e disgiunti per ognuno dei sistemi di gestione presenti, moltiplicando di fatto l’effort, ma che studiando e attivando ogni controllo è necessario prestare attenzione a tutti i suoi aspetti e le sue finalità in modo da gestire tutte le sfaccettature tipicamente presenti nelle varie norme.

 

Chi deve essere responsabile? Ha senso avere un unico responsabile quando vi sono più Sistemi di Gestione?

Altra tematica spinosa quando si implementano Sistemi di Gestione è quella relativa alla responsabilità. Tutto sicuramente sarebbe più facile se si potessero delegare per intero le attività ai consulenti che supportano l’organizzazione nell’implementazione del Sistema di Gestione. Purtroppo (per le organizzazioni) questa scelta non è applicabile in quanto deve essere l’azienda a vivere e gestire il Sistema e non può essere il consulente a governare interamente i processi aziendali.

Quindi il problema che ci si pone è: a chi delegare la guida e la responsabilità del Sistema di Gestione? Nel caso di più sistemi ha senso avere un unico responsabile?

 

Storicamente i primi Sistemi di Gestione implementati sono stati quelli inerenti la Qualità e spesso la responsabilità di tali sistemi è stata affidata a personale amministrativo (HR, CFO, …).

Ad oggi, per alcuni Sistemi di Gestione, è ancora ragionevole che la responsabilità sia affidata allo stesso personale (Sicurezza sul Lavoro, Ambiente), mentre per schemi più tecnici (Sicurezza Informazioni, Business Continuity, IT Service Management) far coesistere uno stesso responsabile, per motivi di know how e di visibilità dei processi aziendali risulta nella maggior parte dei casi difficoltoso.

Inoltre, l’affidare diversi Sistemi di Gestione ad un unico referente non è sempre la scelta migliore, specialmente in grandi contesti aziendali dove i flussi operativi sono molto complessi.

La scelta del responsabile del Sistema di Gestione deve sempre essere fatta in maniera oculata in funzione dei processi aziendali e della complessità dei sistemi.

Nel caso il responsabile non sia unico è necessario comunque che i vari responsabili periodicamente si sincronizzino in modo quantomeno da non duplicare il lavoro o andare a normare processi che vanno in conflitto.

 

La figura del management può essere passiva rispetto ad un sistema di Gestione?

Altro tasto “dolente” nell’implementazione dei Sistemi di Gestione è il coinvolgimento del management. Nelle normative ISO, in maniera ancora più marcata con l’entrata in vigore della nuova common structure1, la leadership è fondamentale per l’impostazione e la conduzione del Sistema di Gestione.

Anche se il management vorrebbe essere liberato dagli oneri relativi all’implementazione del Sistema, per la reale efficacia dello stesso il suo impegno è fondamentale.

Deve essere il management stesso a emendare la documentazione di processo (non limitandosi a firmare i documenti preparati dai consulenti), a definire ruoli e responsabilità e a stanziare budget per l’attuazione del sistema.

 

In ogni caso, per quanto forte sia il coinvolgimento del management è fondamentale ricordare che tutto il personale coinvolto nel sistema di Gestione ha una parte di responsabilità ed ha una parte fondamentale nell’implementazione del Sistema.

 

Cosa è necessario effettuare per implementare un Sistema di Gestione

Per l’implementazione di un Sistema di Gestione sono quindi necessari (consigliati) i seguenti Step

 

0.   Capire perché ci si vuole certificare

  1. Definire la normativa di riferimento
  2. Valutare la presenza di Sistemi di Gestione già attivi all’interno dell’organizzazione
  3. Avere il commitment del Management
  4. Definire il processo su cui instaurare in Sistema di Gestione
  5. Valutare la documentazione già presente
  6. Aggiornare ed integrare il framework documentale
  7. Attuare / migliorare i processi richiesti dalla normativa
  8. Formare il personale
  9. Raccogliere registrazioni
  10. Valutare l’efficacia del Sistema di Gestione

 

Il sistema di gestione sarà davvero efficacie se non solo finalizzato all’ottenimento del “bollino” ma se utilizzato per strutturare, formalizzare e migliorare i processi aziendali ottimizzando quindi gli investimenti!

Un sistema di gestione in questo modo non sarà un puro costo ma permetterà di rendere più efficaci ed efficienti i processi.

 

01/09/2014 - Paolo Sferlazza, Security Advisory Team @ Mediaservice.net