La Check-list di valutazione del fornitore

Fin dagli albori dei sistemi qualità ISO 9001 (ma ai tempi era anche ISO 9002) la qualifica del fornitore è stato un elemento particolarmente significativo, da soddisfare anche attraverso la sottomissione ai fornitori di un questionario di (auto)valutazione e qualifica del fornitore che andava a valutare la sua organizzazione, le sue metodologie di assicurazione qualità e l’eventuale situazione rispetto alla certificazione di qualità (ISO 9001/ISO 9002/ISO 9003, certificazioni di prodotto, ecc.). Tali questionari avevano una loro ratio: se ben strutturati consentivano di valutare numerosi aspetti dei processi operativi del fornitore e spesso lo invitavano a migliorare i suoi controlli qualità. Chiaramente una visita in loco poteva sempre permettere al cliente di verificare la veridicità delle risposte fornite.

Nel corso degli anni i metodi di valutazione dei fornitori si sono evoluti, ma i questionari sono in parte rimasti, almeno per i fornitori di prodotti e servizi critici, magari affiancati da visite presso la loro sede o veri e propri audit di 2a parte.

Negli ultimi tempi questa modalità di valutazione è estesa ad altri settori: la privacy, la sicurezza informatica e la Sostenibilità, tipicamente declinata nei suoi elementi costituenti: Ambiente (Environment), Responsabilità Sociale (Social Accountability) e Governance, nota con l’acronimo ESG.

Purtroppo, grandi aziende hanno distribuito a pioggia questi questionari per valutare tutti i loro fornitori, senza distinzione.

Così molte aziende si sono viste recapitare (via e-mail) un questionario al quale devono tassativamente rispondere, ma non sanno come, soprattutto per quanto riguarda alcune domande.

Spesso, poi, le risposte ai questionari vengono valutate con algoritmi matematici, applicando metodi quali-quantitativi. In altre parole, ad ogni domanda bisogna rispondere con un SI o NO oppure con un Conforme/Parzialmente Conforme/Non Conforme, e così via. Ad ogni risposta è poi assegnato un punteggio (ed eventualmente un peso) che contribuisce al calcolo di un punteggio complessivo (spesso tramite una media pesata).

Dunque, troppe risposte negative o parzialmente negative possono portare ad escludere una PMI dall’Albo Fornitori di un cliente importante per aspetti non strettamente legati al prodotto/servizio fornito.

Ma andiamo ad esaminare le due principali tipologie di questionari:

  • quello dedicato alla Sostenibilità (ESG) e
  • quello dedicato alla Privacy (Data Protection secondo il GDPR, Reg UE 2016/679) ed alla Sicurezza Informatica (Cybersecurity).

I questionari sulla Sostenibilità riportano domande anche molto specifiche come, ad esempio, richieste sul calcolo della carbon footprint, delle emissioni di CO2 e/o monitoraggio dei consumi energetici.

person holding green grains
Photo by Min An on Pexels.com

Ovviamente a tali domande molte PMI, soprattutto quelle nel settore dei servizi, non sanno cosa rispondere, né pensano di implementare un sistema di misura e monitoraggio di tali elementi.

In molti contesti il questionario non dovrebbe essere applicabile: se il fornitore ha un basso impatto ambientale, non dovrebbe essere valutato su questi aspetti, in quanto non posso trattare allo stesso modo un fornitore di prodotti derivanti da un processo manifatturiero, un semplice rivenditore di prodotti e un fornitore di servizi di sviluppo software ed assistenza software e sistemistica. Se il fornitore appartiene a queste ultime tipologie, dovrebbe poter rispondere: “Caro cliente, siamo un’azienda di servizi che lavora in uffici neanche tanto vasti, il nostro impatto ambientale è limitato e più che cercare di fare la raccolta differenziata e di limitare i consumi energetici (già ridotti) non possiamo”. Del resto i valori di alcuni parametri sopra menzionati non avrebbero senso e non sarebbero comunque comparabili con aziende industriali.

Sugli aspetti Social dei questionari ESG, non ha molto senso richiedere il possesso di una certificazione nell’ambito della Responsabilità Sociale (SA 8000 o altri; ci sono diversi standard, forse troppi, nessuno standard ISO certificabile), soprattutto quando il fornitore non è a rischio di non rispettare i diritti dei lavoratori, soprattutto riguardo al lavoro forzato o al lavoro minorile.

Questi ultimi aspetti, viceversa, spesso risultano difficilmente applicabili a fornitori che producono in Paesi nei quali la normativa sul lavoro non è severa come nel nostro, anzi, lo sfruttamento dei lavoratori e il disconoscimento dei loro diritti è all’ordine del giorno.

In queste situazioni il tipico caso è quello dell’azienda A (grande azienda, anche multinazionale) vuole imporre criteri rigorosi di responsabilità sociale all’azienda B (il nostro fornitore che è un semplice rivenditore) che acquista i prodotti dall’azienda C, che è una grande azienda che opera in mercati del lavoro poco regolamentati (Asia, Africa…). L’azienda B può essere assolutamente compliance a tutte le norme applicabili in Italia e forse più, ma che controllo può imporre su fornitori di altri Paesi che controllano il mercato globale?

Lato Governance spesso viene richiesta l’attuazione di un Modello Organizzativo 231 (per le aziende italiane) che per certi settori non ha senso poiché la probabilità di incappare in uno dei reati previsti dal D.lgs 231/2001 è quasi inesistente. Idem dicasi per la nuova normativa anticorruzione (ISO 37001).

Al di là del consiglio di rispondere con serietà, competenza e massima trasparenza, sarebbe utile instaurare un canale di comunicazione con il cliente per evitare di essere fortemente penalizzati da un algoritmo di valutazione del questionario che non considera adeguatamente nel calcolo il settore di appartenenza del fornitore.

Passiamo al questionario sulla Privacy e/o sulla Cybersecurity.

Il questionario Privacy viene giustamente adottato per qualificare il responsabile (esterno) del Trattamento di Dati personali ai sensi dell’art. 28 del GDPR, ma non solo. Alcune organizzazioni che hanno molto a cuore la tutela dei dati personali che gestiscono, anche perché molto critici (dati sanitari, dati bancari, ecc.), lo mandano a chiunque ha un appalto di servizi. Starà poi al fornitore spiegare che magari il proprio software in cloud non tratta dati personali di cui il cliente è titolare, a parte i dati delle credenziali di accesso degli utenti e, pertanto, non potrà mai essere investito del titolo di Responsabile del Trattamento.

Se, viceversa, il fornitore tratta dati personali occorre fare attenzione ad alcune domande. Ad esempio, spesso il cliente richiede se il fornitore ha svolto una DPIA (valutazione di impatto sui dati personali), che in realtà è applicabile solo in alcuni casi. Ricordiamo infatti che la DPIA è dovuta, oltre ai casi esplicitamente previsti dal Regolamento UE 679/2016 e dalle indicazioni del nostro Garante Privacy, se un trattamento di dati personali – a seguito della valutazione dei rischi – presenta rischi elevati per i diritti e le libertà degli interessati.

 Anche le domande sul DPO (RPD) dovrebbero prevedere la non applicabilità del requisito per determinati tipi di organizzazione, anche se la nomina di un DPO è comunque un’azione volontaria consigliabile in molte realtà.

Per quanto riguarda la nomina dei responsabili del trattamento (sub-responsabili per il trattamento che un fornitore effettua per un cliente titolare del trattamento) con adeguato accordo contrattuale, essa è un atto doveroso, ma è difficile ribaltare al sub-responsabile i medesimi requisiti contrattuali imposti dal titolare (cliente) al responsabile (fornitore). Immaginiamo ad esempio una società di servizi di elaborazione dati relativi alla gestione del personale che ha numerosi clienti che la hanno nominata responsabile del trattamento, ma che ovviamente utilizza il medesimo programma software per elaborare i dati di tutti i clienti ed ha un contratto con i fornitori del software (tipicamente in Saas, ovvero in cloud) unico con la nomina del fornitore del software  a responsabile del trattamento. In tale situazione è difficile che tutti i requisiti, anche quelli particolari, coincidano con quelli richiesti dal cliente titolare del trattamento.

Poi ci sono le misure di sicurezza.

Spesso le check-list comprendono riferimenti a controlli estratti da linee guida ENISA, ISO 27002 e quant’altro di meglio c’è a disposizione. Peccato che talvolta queste misure di sicurezza non sono correttamente declinate.

Ad esempio, il controllo degli accessi logici e le regole di autenticazione non possono essere imposti tu cur dal cliente al fornitore: alcune regole come il cambio password ogni 3 o 6 mesi non ha senso richiederle come obbligo. Ci sono illustri pareri (NIST in primis) che sono contrari al cambio password frequente, a vantaggio di altre misure di sicurezza alternative (es. MFA con elevata complessità della password).

Dunque, sarebbe più corretto chiedere al fornitore quali policy di controllo degli accessi logici ha implementato e non accontentarsi di risposte del tipo: “per accedere ai sistemi informatici abbiamo imposto una password” … che vuol dir tutto e vuol dir niente.

Poi chiaramente il questionario dovrebbe concentrarsi sulle misure di sicurezza relative al trattamento che il fornitore fa per il cliente. Se il responsabile del trattamento fornisce un software i cloud (SaaS) non ha particolare rilevanza come effettua i backup dei propri dati gestionali internamente, ma è importante capire quali misure di sicurezza ha adottato il datacenter che ospita il servizio.

Stesso discorso vale per backup, anti-malware, firewall ed altre misure di sicurezza che dovrebbero essere commisurate all’attività effettivamente svolta dal fornitore per il cliente. Non basta affermare di disporre di queste misure di sicurezza, bisogna capire come sono applicate. Quando l’accesso del fornitore ai dati del cliente avviene sui database installati presso il cliente normalmente le misure di sicurezza importanti sono quelle implementate dal cliente stesso (regole di autenticazione, VPN per accessi dall’esterno, ecc.). In conclusione, occorre essere preparati per rispondere adeguatamente a queste richieste dei clienti e, se si ritiene di essere adeguatamente strutturati ed organizzati su questi aspetti, è opportuno cercare un dialogo con persone competenti appartenenti all’organizzazione del cliente. Nella

La norma ISO 50001 per il risparmio energetico delle aziende

SEAimg16 La norma UNI CEI EN ISO 50001:2011 “Sistemi di gestione dell’energia – Requisiti e linee guida per l’uso” è la versione ufficiale italiana della norma internazionale ISO 50001 (“Energy management systems — Requirements with guidance for use”, edizione dell’ottobre 2011). La norma specifica i requisiti per creare, avviare, mantenere e migliorare un sistema di gestione dell’energia il cui obiettivo è quello di consentire ad un‘organizzazione di perseguire, con un approccio sistemico, il miglioramento continuo delle proprie prestazioni energetiche, comprendendo in ciò l’efficienza energetica, nonché il consumo e l’uso dell’energia.

Anche questa norma, così come le altre normative sui sistemi di gestione, è basata sull’approccio Plan-Do-Check-Act che ben si sposa con le caratteristiche di questo sistema di gestione. Leggi tutto

Entrata in vigore del D.P.R. 74/2013: cosa cambia per i manutentori di impianti termici certificati ISO 9001

manutenzione impianti termici
manutenzione impianti termici

E’ entrato in vigore il 12 luglio scorso il D.P.R. n. 74 del 16/04/2013 (Regolamento recante definizione dei criteri generali in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda per usi igienici sanitari) che apporta nuove modifiche alla normativa in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria. Leggi tutto

Proroga di 60 giorni per il registro f-gas

minambienteIl Decreto del Ministero dell’Ambiente e della tutela del territorio e del mare del 12 aprile stabilisce che l’avvio dell’operatività del Registro telematico delle persone e delle imprese certificate (registro f-gas), che il decreto del 31 gennaio 2013 aveva fissato al 12 aprile 2013, è differito di 60 giorni al fine di garantire a tutte le imprese la possibilità di iscriversi.

Leggi tutto

Protocollo ITACA per la sostenibilità delle costruzioni

Direttori cantiereL’Associazione ITACA (Istituto per l’innovazione e trasparenza degli appalti e la compatibilità ambientale, Associazione federale delle Regioni e delle Province autonome) ha emanato, ormai da un paio d’anni, un protocollo che individua un Sistema di accreditamento e certificazione della sostenibilità ambientale delle costruzioni (http://www.itaca.org/valutazione_sostenibilita.asp). Attraverso accordi con ACCREDIA è così nato un sistema che dovrebbe permettere ad Enti terzi indipendenti di certificare la sostenibilità delle costruzioni fin dalla loro progettazione.

Leggi tutto

Nuova ISO 17021:2011

La norma internazionale ISO/IEC 17021:2011 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – revisione della ISO/IEC 17021:2006, applicabile agli organismi che effettuano la certificazione dei sistemi di gestione aziendale (SGQ, SGA, SCR, SSI, FSM, ecc) è entrata completamente in vigore il  1° febbraio 2013 termine ultimo per l’implementazione della norma da parte degli Organismi di Certificazione.

La norma prescrive nuovi requisiti per la conduzione degli audit da parte degli organismi di certificazione e per la competenza degli auditor, con l’obiettivo di accrescere il valore della certificazione per le organizzazioni del settore pubblico e privato e per i loro utenti, assicurando l’affidabilità dei certificati ISO 9001, 14001, 22000 e altri. Leggi tutto

Certificazione energetica degli edifici: la Regione Emilia Romagna sta attivando i controlli

Con la Delibera Regionale n. 156 (“Approvazione atto di indirizzo e coordinamento sui requisiti di rendimento energetico e sulle procedure di certificazione energetica degli edifici.”) la Regione Emilia Romagna ha stabilito precisi criteri per la certificazione energetica degli edifici. La normativa, molto severa e avanzata rispetto al panorama nazionale, prevede regole precise per la classificazione energetica degli edifici e la manutenzione dei relativi impianti. Attraverso moduli a lettura ottica e rilevazione dati direttamente nel sistema informatico istituito dalla Regione, sarà forse possibile tenere sotto controllo la regolarità – dal punto di vista energetico – di tutti gli edifici della Regione Emilia Romagna. Il sistema dei controlli a campione (5% del totale dei certificati energetici) che la Regione sta mettendo in piedi non permetterà più a proprietari, Amministratori Condominiali, progettisti, installatori di impianti e manutentori (questi ultimi quasi tutti certificati ISO 9001) di non rispettare le regole stabilite da leggi e normative passate, infatti la certificazione energetica dovrà recepire certificazioni di conformità degli impianti che finora gli Amministratori condominiali si rifiutavano di consegnare ai manutentori Terzi Responsabili (probabilmente perchè mancanti), i quali assumevano incarichi e responsabilità relative su impianti lontani dalla conformità normativa. Vedremo se i controlli riusciranno a sanare un settore non sempre in linea con la conformità legislativa, pretesa in sede di compravendita degli immobili.

Si allega il testo completo della delibera.

Delibera Regione Emilia Romagna n. 156