Come ormai noto gli organismi abilitati alle verifiche secondo il D.P.R. 462/2001 (“Regolamento di semplificazione del procedimento per la denuncia di installazioni e dispositivi di protezione contro le scariche atmosferiche, di dispositivi di messa a terra di impianti elettrici e di impianti elettrici pericolosi”) hanno l’obbligo di accreditamento UNI CEI EN ISO/IEC 17020:2012 (“Valutazione della conformità – Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni”) in base alle disposizioni del Ministero dello Sviluppo Economico e dagli accordi stipulati da quest’ultimo con ACCREDIA.

Con un’apposita circolare – la 29 del 2017 – l’Ente unico di accreditamento, facendo seguito alle precedenti comunicazioni, ha reso noto le modalità particolari di espletamento di tali pratiche. Oltre a ciò sono stati stabiliti alcuni requisiti aggiuntivi o integrativi della ISO 17020, della Linea Guida ILAC P15 e dei Regolamenti Accredia per l’accreditamento degli Organismi di Ispezione che operano in questo settore particolare.

Relativamente alle procedure di accreditamento, gli Organismi (OdI) sono stati suddivisi in due gruppi, in base alla data di scadenza dell’abilitazione. Il primo gruppo doveva presentare domanda di accreditamento ad ACCREDIA entro il 30 novembre 2017, il secondo dovrà farlo entro il 30 giugno 2018.

Ciò non significa che gli Organismi dovranno essere pronti ad essere accreditati ISO 17020 entro tali date, ma semplicemente che abbiano presentato domanda. Ma cosa significa ciò in pratica?

Oltre alla compilazione della domanda (che include solo informazioni societarie), reperibile sul sito ACCREDIA, gli organismi dovranno presentare una serie di documenti riepilogati nel seguito:

• Manuale del Sistema di Gestione;
• Nome, titolo di studio e Curriculum vitae del Responsabile Tecnico e del suo Sostituto;
• Organigramma nominativo con compiti e responsabilità;
• Statuto;
• Ultimo bilancio disponibile con revisione contabile indipendente;
• Polizza Assicurativa;
• Regolamento o documento equivalente per la gestione delle attività di ispezione per le quali è richiesto l’accreditamento;
• Elenco controllato degli Ispettori ed Esperti e relativi curricula vitae;
• Elenco delle Procedure, istruzioni operative e altri documenti applicabili alle attività dell’Organismo;
• Procedura di qualifica degli Ispettori o documenti equivalenti;
• Copia tipo dei Piani di Ispezione;
• Elenco dei Soggetti (organizzazioni o persone) in possesso di Rapporti di Ispezione rilasciati dall’Organismo (in questo visto che si tratta di Organismi che operano da tempo nel settore, credo sia sufficiente un elenco recente dei clienti per i quali sono state effettuate ispezioni come organismo abilitati dal Ministero).

Anche se l’elenco potrebbe spaventare, occorre ricordare che si tratta di Organismi che già operano con abilitazione Ministeriale in questo settore e dovrebbero già disporre di molte delle informazioni sopra elencate in forma documentata.

Probabilmente gli interventi più consistenti sulla documentazione già esistente si dovranno apportare al Manuale del Sistema di Gestione (in pratica un Manuale Qualità), predisposto in accordo alla ISO 17020 alla Procedura di Qualifica degli Ispettori e al Regolamento.

Riguardo agli altri documenti occorre fare alcune precisazioni in base a quanto contenuto nella Circolare Accredia n. 29/2017, anche con riferimento alla Direttiva del’11 marzo 2002:

• Nello Statuto non devono figurare attività in potenziale conflitto di interessi;
• Oltre al Bilancio d0esercizio è richiesta una revisione contabile indipendente (non più richiesta nell’ultima edizione della ISO 17020:2012);
• La Polizza Assicurativa per Responsabilità Civile Professionale deve coprire anche l’attività degli ispettori esterni (che, quindi, non devono sopperire con la propria polizza RC professionale) e deve avere un massimale di 1, 55 milioni di euro;
• Responsabile Tecnico (o Direttore Tecnico) e suo Sostituto devono soddisfare appositi requisiti di competenze e devono essere dipendenti, titolari o soci operativi operanti in esclusiva per l’Organismo (tale requisito non è imposto per i Sostituti del Direttore Tecnico dalla ISO 17020);
• Anche gli ispettori – interni ed esterni – devono soddisfare appositi requisiti di competenza e devono operare, per le attività di verifica oggetto di accreditamento, in esclusiva per l’Organismo.

La Circolare Accredia sopra menzionata specifica altri aspetti maggiormente restrittivi rispetto alla ISO 17020 ed alla ILAC P15:2016, in particolare:

• Gli strumenti di misura, gestiti sotto controllo dell’Organismo, devono soddisfare particolari requisiti di conferma metrologica (si veda al riguardo anche la Linea Guida ILAC P10);
• Gli ispettori non possono svolgere attività potenzialmente in conflitto di interesse – quali progettazione, installazione, manutenzione e commercializzazione di impianti elettrici – non solo relativamente all’oggetto ispezionato, ma rispetto a tutti gli oggetti simili (ovvero ogni impianto elettrico);
• Sono richieste all’OdI apposite dichiarazioni sul possesso e l’impiego di adeguati dispositivi di protezione individuale (D.P.I.).

Una volta presentata la domanda occorrerà attendere l’esame preliminare e la formulazione del preventivo da parte di ACCREDIA; una volta accettata l’offerta di ACCREDIA, l’Ente procederà all’esame documentale, che potrà comportare la richiesta di documenti integrativi. In caso di esito positivo di tale esame si procederà alla pianificazione della verifica ispettiva in sede ed alla verifica in accompagnamento presso i luoghi ove vengono svolte le verifiche degli impianti secondo il DPR 462/2001.

I tempi previsti da Accredia per effettuare la verifica ispettiva sono di circa 3 mesi dal ricevimento della domanda. Vista la numerosità degli Organismi che dovranno richiedere l’accreditamento entro giugno 2018, però, si può supporre che tali tempi si allunghino; comunque ogni singolo Organismo deve cercare di completare positivamente l’audit di ACCREDIA e la successiva delibera del Comitato di Accreditamento entro la scadenza della propria abilitazione, dopodiché potrà formulare al MISE la richiesta di rinnovo (o estensione) dell’accreditamento, che verrà naturalmente accolta solo in presenza di accreditamento ISO 17020.

Si vedano i precednti articoli su:

• accreditamento ISO 17020 degli organismi di ispezione abilitati secondo il DPR 462/2001 e
• la norma UNI CEI EN ISO/IEC 17020:2012

La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni.

Il processo di gestione dei rischi comprende le seguenti fasi, descritte nel seguito:

1)      Identificazione dei rischi

2)      Analisi e ponderazione dei rischi

3)      Identificazione e valutazione delle opzioni per il trattamento dei rischi

4)      Scelta degli obiettivi di controllo ed i controlli per il trattamento dei rischi

5)      Accettazione dei rischi residui.

Le attività suddette vengono descritte nel Rapporto di valutazione dei rischi (Risk assessment report).

L’identificazione dei rischi che incombono sulla sicurezza delle informazioni avviene attraverso:

a)      L’identificazione degli asset significativi all’interno del SGSI: tale attività avviene come descritto nella procedura Identificazione e valutazione degli asset.

b)      La valorizzazione ai fini del SGSI degli asset rilevati: tale attività avviene come descritto nella procedura Identificazione e valutazione degli asset. La valorizzazione degli asset in termini di riservatezza, integrità e disponibilità avviene per singolo asset oppure per gruppi di asset omogenei ai fini del SGSI; nel seguito in entrambe le situazioni si utilizzerà il termine asset intendendosi anche “raggruppamento di asset”.

c)       Identificazione delle minacce/pericoli che incombono sugli asset: tale attività viene svolta valutando le minacce note della letteratura e quelle ipotetiche specifiche in relazione ai servizi svolti dall’organizzazione. Le minacce vengono associate agli asset (e quindi alle informazioni che essi gestiscono) e vengono valorizzate in una scala da 1 a 3 (Bassa, Media, Alta). La stessa minaccia può assumere un livello di gravità diverso a seconda dell’asset cui si applica..

d)      Identificazione delle vulnerabilità: tale attività viene svolta valutando le vulnerabilità note della letteratura, quelle ufficiali comunicate da fonti autorevoli e quelle ipotetiche specifiche in relazione ai servizi svolti dall’organizzazione. Le vulnerabilità vengono associate agli asset (e quindi alle informazioni che essi gestiscono) e vengono valorizzate in una scala da 1 a 3 (Bassa, Media, Alta). La stessa vulnerabilità può assumere un livello di gravità diverso a seconda dell’asset cui si applica.

e)      Identificazione degli impatti o conseguenze che la perdita dei requisiti di riservatezza, integrità e disponibilità possono avere sugli asset. Le conseguenze del concretizzarsi di una minaccia in grado di sfruttare una vulnerabilità vengono anch’esse valorizzate attraverso la formula seguente:

Impatto = Valore Asset x Gravità Minaccia x Gravità Vulnerabilità.

L’analisi e ponderazione dei rischi per la sicurezza delle informazioni identificati avviene attraverso:

a)      La valutazione della probabilità che si verifichino i singoli rischi identificati nella fase precedente. La probabilità di accadimento di un rischio avviene considerando gli incidenti verificatisi in passato e statistiche eventualmente disponibili. L’assegnazione di una livello di probabilità attraverso una scala qualitativa avviene secondo il seguente schema:

b)      Determinazione dell’indice di esposizione al rischio moltiplicando la gravità dell’impatto per la probabilità. Il risultato ottenuto sarà un valore da 3 a 81.

c)       Definizione dei criteri di accettazione dei rischi: si stabilisce un livello minimo di tolleranza dei rischi al di sotto del quale i rischi vengono accettati ed al di sopra del quale i rischi devono essere trattati con azioni mirate.

Relativamente alla identificazione e valutazione delle opzioni per il trattamento dei rischi, per i rischi che si è deciso di trattare, in ordine decrescente dal maggiore al minore, vengono scelte delle azioni di mitigazione del rischio, che possono consistere nelle seguenti opzioni:

• Ridurre il rischio attraverso l’applicazione di obiettivi di controllo e controlli preventivi e correttivi, finalizzati alla riduzione degli effetti (impatto) del verificarsi del rischio e/o alla riduzione della probabilità che si verifichi.
• Evitare il rischio attraverso l’applicazione di obiettivi di controllo e controlli finalizzati ad evitare che si concretizzino le situazioni che permettono al rischio di concretizzarsi, ovvero ridurre a zero la probabilità che l’incidente paventato si verifichi.
• Trasferire il rischio attraverso la stipula di polizze assicurative oppure l’esternalizzazione a fornitori di processi ed attività con la relativa presa in carico da parte del fornitore dei relativi rischi.

Tali azioni vengono documentate nel Piano di trattamento dei rischi. Esso deve definire le singole azioni da intraprendere, i tempi e le relative responsabilità e risorse per gestire i singoli rischi. L’efficacia delle azioni pianificate porterà ad un ricalcolo della valutazione dei rischi, ottenendo nuovi indici.

La scelta degli obiettivi di controllo e dei controlli per il trattamento dei rischi da attuare avviene in base dall’elenco dei controlli applicabili definito a partire dai controlli identificati a livello normativo (norme della famiglia ISO 27000) a cui si possono aggiungere altri controlli ritenuti utili.

I controlli vengono ritenuti applicabili o non applicabili, se applicabili possono essere attuati in modo completo o parziale. L’applicazione dei controlli può infatti essere ritenuta conveniente solo su alcuni processi/attività, in funzione della diversa esposizione al rischio che possiedono le varie attività svolte dall’organizzazione.

L’attuazione del piano di trattamento dei rischi porta all’accettazione dei rischi residui, ovvero ad evidenziare i rischi residui ritenuti accettabili, dato dall’insieme dei rischi valutati accettabili in sede di prima valutazione dei rischi ed i rischi residui trattati dalle azioni contenute nel piano di trattamento dei rischi.

Il piano di trattamento dei rischi riporta le seguenti informazioni:

1)      Elenco dei rischi da trattare;

2)      Descrizione delle relazioni fra il rischio e l’azione di trattamento del rischio prescelta;

3)      Descrizione delle relazioni fra il rischio e gli obiettivi di controllo ed i controlli selezionati per gestire il rischio.

Lo scopo della procedura Identificazione e valutazione degli asset (predisposta con riferimento alla ISO 27005 – Information technology — Security techniques — Information security risk management – Annex B – Identification and valuation of assets and impact assessment) dovrebbe essere quello di definire le modalità operative e le responsabilità per l’effettuazione e l’aggiornamento del censimento dei beni (asset) aziendali e la relativa valutazione, in termini di riservatezza, integrità e disponibilità delle stesse. In essa vengono stabiliti:

• la classificazione degli asset;
• l’identificazione di ogni asset che ha impatto sulla sicurezza delle informazioni;
• la valutazione quantitativa di ogni asset in relazione alla sua importanza per la sicurezza delle informazioni.

La classificazione degli asset potrebbe distinguere due categorie principali di asset:

1. Asset primari: processi/attività ed informazioni;
2. Asset di supporto: hardware, software, reti, personale, sito, struttura organizzativa.

Gli asset possono essere delle seguenti tipologie:

1. Information asset: dati digitali e non digitali, sistemi operativi, software applicativo, beni intangibili (conoscenza, marchi, brevetti, …).
2. Asset fisici: infrastruttura IT, Hardware, Sistemi di controllo, Servizi IT.
3. Risorse Umane: dipendenti, collaboratori esterni e consulenti.

L’identificazione e ed il censimento degli asset aziendali (asset inventory) ha lo scopo di identificare i requisiti di sicurezza (riservatezza, integrità e disponibilità) degli stessi e valutarne possibili vulnerabilità.

Ad ogni information asset deve essere associato un valore in termini di Riservatezza, Integrità e Disponibilità; tale valore viene espresso in termini qualitativi attraverso l’attribuzione di un  livello di importanza (Basso, Medio, Alto) a cui è associato un valore numerico crescente (1,2,3).

Ad ogni asset di supporto o asset non informativo (risorse fisiche e risorse umane) viene associato un valore in termini di criticità dell’asset, dato dalla somma dei valori di importanza dei requisiti dell’asset in termini di Riservatezza, Integrità, Disponibilità in funzione delle informazioni che esso gestisce. Dunque l’importanza di una risorsa per la sicurezza dipende dai requisiti di Riservatezza, Integrità e Disponibilità, espressi in livelli (Basso/Medio/Alto) a cui corrisponde il valore 1/2/3.

Di conseguenza il valore associato all’asset potrà variare da un minimo di 3 (Riservatezza=Basso + Integrità=Basso + Disponibilità=Basso) ad un massimo di 9 (Riservatezza=Alto + Integrità=Alto + Disponibilità=Alto).

Poiché gli asset possono essere di diversi tipi (risorse fisiche e risorse umane), la metodologia di valutazione dei requisiti di sicurezza delle informazioni è differente per ogni tipo di asset.

Il Valore dell’Asset in termini di sicurezza delle informazioni viene utilizzato nel Risk Assessment in combinazione con:

• le minacce che incombono sugli asset che possono sfruttare le vulnerabilità rilevate degli asset stessi;
• la probabilità che la minaccia si concretizzi in un incidente di sicurezza (delle informazioni);
• la gravità dell’impatto associato all’incidente.

La UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc.

Oltre ai soliti capitoli introduttivi presenti in tutte le norme ISO (Scopo e campo di applicazione, riferimenti normativi, termini e definizioni, ecc.) ed al capitolo “Principi dell’audit”, la norma presenta due capitoli fondamentali:

• GESTIONE DI UN PROGRAMMA DI AUDIT
• SVOLGIMENTO DI UN AUDIT

La ISO 19011:2012 fa prevalentemente riferimento alla gestione degli audit di prima e seconda parte, ovvero agli audit interni e quelli eseguiti dal cliente sul fornitore, mentre per gli audit di parte terza (svolti dagli Organismi di Certificazione) il principale riferimento è diventato la ISO 17021:2011. Paradossalmente gli auditor degli organismi di certificazione su sistemi di gestione dovranno considerare questa norma come possibile linea guida, mentre i requisiti da osservare sono contenuti solo nella ISO 17021.

La norma introduce il concetto di rischio associato all’attività di audit di sistemi di gestione, ma l’approccio adottato riguarda sia il rischio che il processo di audit non raggiunga i propri obiettivi, sia l’eventualità che l’audit interferisca con le attività e i processi dell’organizzazione oggetto dell’audit, trascurando il fatto che l’audit può evidenziare comportamenti e prassi “rischiose” per l’organizzazione. Per rischiose intendo procedimenti rilevati (difformi o meno alle procedure stabilite) che possono portare a non conformità, nelle sue varie declinazioni: prodotti non conformi, incidenti (per la sicurezza delle informazioni), non conformità di sistema, ecc..

Le definizioni del capitolo 3 apportano lievi modifiche a quelle della precedente versione della norma. Si noti che il termine “verifica ispettiva” è completamente sparito da questa e dalle norme della famiglia ISO 9000, a favore del termine “audit” sebbene l’impiego della precedente terminologia sia rimasto nell’uso comune dei sistemi di gestione per la qualità ed anche alcuni organismi di certificazione continuino ad usarlo, mentre altri impongono alle aziende clienti l’aggiornamento della terminologia. Nella sostanza i due termini rimangono sinonimi e nulla vieta di citare il primo termine al posto del secondo nella propria documentazione di sistema.

In generale l’elenco dei termini e definizioni richiama più un audit di un ente di certificazione piuttosto che un audit interno di auna piccola impresa.

I principi dell’audit delineati dalla norma al capitolo 7 sono i seguenti:

a)      Integrità: il fondamento della professionalità.

b)     Presentazione imparziale: obbligo di elaborare rapporti veritieri e accurati.

c)      Dovuta professionalità: l’applicazione di diligenza e di giudizio nel corso del l’attività di audit.

d)         Riservatezza: sicurezza delle informazioni.

e)         Indipendenza: la base per l’imparzialità dell’audit e l’obiettività delle conclusioni dell’audit.

f)           Approccio basato sull’evidenza: il metodo razionale per raggiungere conclusioni dell’audit affidabili e riproducibili in un processo di audit sistematico.

Probabilmente l’enfasi è eccessiva sull’integrità ed imparzialità dell’auditor, mentre uno dei principi fondamentali per svolgere un buon audit è la conoscenza dei processi sottoposti ad audit da parte dell’auditor che li verifica, ma sulla competenza degli auditor c’è un capitolo a parte (il settimo).

Riguardo all’indipendenza la norma cita che «Per gli audit interni, gli auditor dovrebbero essere indipendenti dai responsabili operativi della funzione sottoposta ad audit». Tale aspetto non viene sempre rispettato in molti sistemi di gestione certificati, con buona pace degli enti di certificazione, sebbene questa norma si esprima in termini condizionali (“dovrebbe”).

Il programma di audit può anche comprendere informazioni e risorse necessarie quali:

• obiettivi del programma di audit e dei singoli audit;
• estensione/numero/tipo/durata/siti/pianificazione temporale degli audit;
• procedure del programma di audit;
• criteri di audit;
• metodi di audit;
• selezione dei gruppi di audit
• risorse necessarie (inclusi viaggi e alloggi);
• processi per la gestione della riservatezza, sicurezza delle informazioni, salute e sicurezza sul lavoro e quant’altro necessario.

Il programma di audit normalmente ha un orizzonte temporale di un anno e dovrebbe coprire tutte le aree/processi/unità operative/divisioni comprese nel sistema di gestione da sottoporre ad audit. Il diagramma di flusso riportato nella norma definisce alcuni passi fondamentali:

1. Definizione degli obiettivi del programma di audit.
2. Definizione del programma di audit (ruoli, responsabilità, competenze, estensione, ecc.).
3. Attuazione del programma di audit (obiettivi, metodi, assegnazione membri del gruppo di audit, registrazioni, ecc.).
4. Monitoraggio del programma di audit.
5. Riesame e miglioramento del programma di audit.

Nel punto 3 intervengono la competenza degli auditor e lo svolgimento dell’audit, trattati ai capitoli successorio

La norma ISO 19011 descrive in dettaglio i suddetti step; da ciò si comprende che un programma di audit non dovrebbe limitarsi ad un elenco di audit per aree o processi con periodi indicativi di svolgimento e definizioni di responsabili del gruppo di audit. Questo può essere sufficiente per una piccola realtà, mentre per un’azienda più grande e strutturata, magari con alcune unità operative distaccate, potrebbe essere consigliabile sviluppare un programma di audit descrittivo, non solamente un “calendario di audit”. Alcuni aspetti dovrebbero essere definiti e trattati più approfonditamente, ad esempio gli obiettivi (audit di conformità ad una norma oppure bisogna valutare il raggiungimento di determinati obiettivi di miglioramento?), i metodi (è opportuno pianificare audit a distanza?), l’estensione dei singoli audit, le tecnologie informatiche da impiegare e così via.

Anche i rischi di un programma di audit dovrebbero essere attentamente valutati: dedicare un tempo insufficiente a determinate aree o processi, oppure incaricare auditor non sufficientemente competenti per verificare certi processi, potrebbe comportare uno spreco di risorse oppure una riduzione dell’efficacia degli audit.

Un’attenta programmazione di questa fase può rendere il programma di audit più o meno efficace ed efficiente con conseguente impatto sui costi di tutta l’attività e benefici che ne derivano.

Anche la fase di attuazione del programma di audit richiede una pianificazione accurata di vari aspetti quali obiettivi, campo di applicazione, criteri e tempistiche dei singoli audit, nonché comunicazione ai soggetti interessati e disponibilità delle risorse necessarie per svolgere l’audit.

A volte anche una corretta gestione di aspetti logistici e di comunicazione sia agli auditor, sia ai soggetti auditati, di informazioni di interesse quali i risultati di precedenti audit, le tecnologie da verificare, informazioni relative alla sicurezza, ecc. possono evitare problemi in fase di svolgimento dell’audit.

La norma raccomanda la corretta gestione dei risultati degli audit e delle relative registrazioni (piani e rapporti di audit, rapporti di non conformità, azioni correttive, ecc.), compresa la dovuta riservatezza delle stesse.

Monitoraggio, riesame e miglioramento del programma di audit sono punti fondamentali per mantenere efficace ed efficiente il programma di audit anche attraverso modifiche scaturite dai risultati degli audit e da altri ritorni dal campo (ad es. feedback da parte delle persone auditate).

Il capitolo 6 “Svolgimento dell’audit” tratta tutti gli aspetti relativi all’esecuzione degli audit pianificati: dall’avvio dell’attività di audit con la presa di contatto del responsabile dell’audit con i responsabili delle attività auditate, alla preparazione dell’audit con la pianificazione dell’audit e la predisposizione dei documenti di lavoro (ad es. check-list), fino alla conduzione dell’audit ed alle attività conclusive (emissione e distribuzione del rapporto, chiusura dell’audit ed attività di follow-up).

La fase preparatoria dell’audit è molto importante per evitare poi di avere problemi successivamente o di trovarsi a non essere in grado di esaminare tutto ciò che si avrebbe dovuto verificare. Questa fase è spesso svolta con frettolosità dagli organismi di certificazione che non hanno budget sufficienti per organizzare e preparare al meglio un audit in azienda; molto lavoro è affidato all’auditor che se conosce già l’azienda da precedenti visite riuscirà ad organizzarsi bene, viceversa si potrebbe rischiare di svolgere un audit troppo superficiale.

La predisposizione di un piano di audit che poi si sarà in grado di rispettare può agevolare i rapporti con il personale sottoposto a verifica, che non avrà scuse se non sarà pronto agli orari stabiliti e non potrà contestare il mancato rispetto degli orari pianificati.

La conduzione dell’audit vero e proprio inizia con la riunione di apertura o riunione iniziale che sostanzialmente non è molto diversa da quella descritta nelle precedenti versioni della norma. A seconda che si tratti di un audit di parte terza o di parte seconda, piuttosto che un audit interno, potrà variare il formalismo ed il tempo dedicato alla riunione di apertura. Anche se in organizzazioni di medio-piccole dimensioni e/o con una certa abitudine agli audit la riunione di apertura può risultare superflua è comunque opportuno confermare la programmazione degli orari delle interviste per assicurarsi che tutto si svolga senza intoppi.

Il riesame della documentazione dovrebbe essere previsto in molti audit per valutare la conformità delle regole stabilite ai criteri dell’audit (tipicamente una normativa di riferimento) prima di valutare se le procedure sono attuate in modo conforme.

Naturalmente in funzione degli esiti di eventuali audit precedenti, delle anomalie rilevate e delle azioni correttive intraprese dall’organizzazione auditata, questa fase preliminare all’avvio dell’audit vero e proprio sarà più o meno estesa.

La comunicazione fra i membri del gruppo di audit e fra questi e l’organizzazione soggetta a verifica è molto importante per rivalutare periodicamente l’avanzamento dell’audit e, in caso di necessità, riprogrammare attività anche riassegnando singoli compiti. La responsabilità principale di quest’attività è ovviamente del responsabile del team di audit.

Questo aspetto spesso viene mal gestito in alcuni audit di certificazione e così si finisce per dilungare eccessivamente la verifica o dedicare un tempo insufficiente alla verifica di processi importanti.

Se in alcuni casi è il piano di audit ad essere non ben progettato, in altri lo svolgimento dell’audit accumula ritardi che il team di audit non cerca di recuperare.

Infatti spesso il piano di audit rispecchia sequenze poco condivisibili (ad es. svolgere la verifica del riesame da parte della direzione all’inizio dell’audit piuttosto che alla fine quando l’auditor si sarà fatto un’idea migliore delle prestazioni dei processi e dei relativi indicatori) oppure relega processi primari nell’ultimo quarto del tempo di audit, quando potrebbero essersi accumulati ritardi significativi ed il personale coinvolto potrebbe avere la necessità di uscire dall’azienda.

Viceversa anche con un piano ben progettato si possono registrare ritardi notevoli perdendosi in discussioni lunghissime con il personale dell’azienda; soprattutto nella prima parte della mattinata i tempi sono spesso molto allungati fra ritardi iniziali, chiacchere e caffè; come in qualsiasi attività lavorativa del resto.

L’assegnazione di ruoli e responsabilità a guide ed osservatori può riguardare soprattutto audit di parte terza (di certificazione) nei quali alcuni organismi richiedono esplicitamente che l’audit sia sempre accompagnato in azienda da personale incaricato, anche per motivi di sicurezza fisica e di riservatezza.

Il ruolo degli osservatori va confinato nel loro ambito: spesso i consulenti dell’azienda rispondono in vece dei responsabili dell’azienda (per colpa un po’ dell’uno, un po’ dell’altro) e questo non è consentito dai regolamenti ACCREDIA; in altri casi gli osservatori in addestramento dell’Organismo di Certificazione si spingono un po’ troppo oltre i propri compiti e partecipano attivamente alla verifica ponendo domande ed esprimendo giudizi.

Riguardo alla raccolta e verifica delle informazioni, durante l’audit, dovrebbero essere raccolte informazioni verificabili tramite adeguato campionamento. Tali informazioni, se supportate da evidenza oggettiva, costituiscono delle evidenze (prove) che possono essere valutate in base ai criteri dell’audit e porteranno alle risultanze dell’audit che, opportunamente riesaminate, determineranno le conclusioni dell’audit (Conformità o non conformità del processo esaminato).

I metodi di raccolta delle informazioni comprendono interviste, osservazioni e riesame dei documenti, comprese le registrazioni (naturalmente di qualsiasi tipo e su qualsiasi supporto).

Su campionamento e metodi di raccolta delle informazioni la norma richiama i punti B.3, B.5, B6 e B.7 dell’Appendice B.

Riguardo al campionamento, esso viene distinto in campionamento basato su giudizio e campionamento statistico. Normalmente viene utilizzato solo quello del primo tipo, mentre il secondo mi sembra francamente impraticabile negli audit dei sistemi di gestione, salvo casi particolari nei quali vengono identificati a monte i macro-elementi potenzialmente esaminabili e, quindi, si stabilisce quali verificare nell’audit.

Una buona tecnica utilizzata nella pratica è quella di esaminare un certo numero di documenti o attività ed approfondire l’esame su altri elementi simili solo se si riscontrano non conformità.

Di fatto negli audit di certificazione il campionamento è scarsamente significativo dal punto di vista statistico. Facciamo un esempio: se un’azienda riceve 1000 ordini cliente all’anno e svolge 10 eventi formativi all’anno un campionamento omogeneo prevedrebbe che, a fronte della verifica di 2 registrazioni dell’addestramento/formazione (20% del totale), venissero esaminati 200 ordini cliente, cosa che in realtà non avviene mai.

La produzione delle risultanze dell’audit dovrebbe comprendere non conformità, conformità/buone prassi, opportunità di miglioramento e raccomandazioni per l’organizzazione. Le non conformità possono essere classificate in gradi di severità differenti.

La preparazione delle conclusioni dell’audit dovrebbe essere preceduta da una riunione del team di audit per riesaminare tutte le risultanze e concordare le conclusioni dell’audit. Inoltre dovrebbero essere trattate le cause radice delle non conformità e le azioni conseguenti richieste.

La riunione di chiusura dell’audit ha l’obiettivo di presentare i risultati dell’audit alla direzione dell’organizzazione ed ai responsabili delle funzioni/processi verificati. In essa dovrebbero essere discussi i rilievi ed eventuali divergenze fra il team di audit ed i responsabili dell’organizzazione dovrebbero essere risolte (ed in caso negativo comunque registrate), nonché le azioni da intraprendere post-audit.

Il rapporto di audit dovrebbe comprendere o fare riferimento a:

a)      gli obiettivi dell’audit;

b)      il campo di applicazione dell’audit, in particolare l’identificazione delle unità organizzative e funzionati o dei processi sottoposti ad audit;

c)       l’identificazione del committente dell’audit;

d)      l’identificazione del gruppo di audit e dei partecipanti all’audit della organizzazione oggetto dell’audit;

e)      le date e i siti dove sono state condotte le attività di audit;

f)        i criteri dell’audit;

g)      le risultanze dell’audit e le relative evidenze;

h)      le conclusioni del l’audit;

i)        una dichiarazione sul grado in cui i criteri di audit sono stati soddisfatti.

Il rapporto di audit può anche includere o fare riferimento a:

• il piano di audit, compresa la pianificazione temporale;
• una sintesi del processo di audit (compreso qualsiasi ostacolo incontrato che può ridurre l’affidabilità del le conclusioni del l’audit);
• la conferma che gli obiettivi dell’audit sono stati raggiunti nell’ambito del campo di applicazione del l’audit, in conformità al piano di audit;
• qualsiasi area non coperta (sebbene compresa nel campo di applicazione dell’audit);
• una sintesi delle conclusioni dell’audit e delle principali risultanze dell’audit che le supportano;
• eventuali opinioni divergenti non risolte tra il gruppo di audit e l’organizzazione oggetto dell’audit;
• le opportunità di miglioramento, se specificate nel piano di audit;
• le buone prassi identificate;
• i piani concordati di azioni conseguenti, se presenti;
• una dichiarazione sulla natura riservata dei contenuti;
• qualsiasi implicazione per il programma di audit o per gli audit successivi;
• la lista di distribuzione del rapporto di audit.

La norma, infine, ricorda che il rapporto di audit può essere sviluppato prima della riunione di chiusura (cosa che avviene nella maggioranza dei casi).

La distribuzione del rapporto di audit potrebbe essere posticipata e comunque dovrebbe avvenire senza eccessivi ritardi indirizzandolo a coloro i quali era previsto nel piano che lo ricevessero.

La chiusura dell’audit avviene al termine di tutte le attività previste. La conservazione ed eventuale divulgazione dei rapporti dovrebbe avvenire secondo quanto concordato e riportato nelle procedure di riferimento, rispettando il livello di riservatezza richiesto.

La conduzione di azioni conseguenti all’audit riguarda l’attuazione di correzioni, azioni correttive o preventive e di miglioramento, eventualmente concordate in sede di audit, la cui efficacia potrà essere valutata in un audit successivo.

Il capitolo 7 della norma riguarda la competenza e valutazione degli auditor.  Se la competenza viene determinata come ormai usuale nelle norme sui sistemi di gestione (istruzione, formazione/addestramento, conoscenze, esperienze, …), la determinazione e valutazione delle competenze di auditor e responsabili di gruppi di audit diventa un’attività molto articolata, descritta nella norma.

Oltre che competente l’auditor deve possedere alcune caratteristiche personali e comportamentali in linea con i principi dell’audit sopra esposti (comportamento etico, essere diplomatico, con mentalità aperta, ecc.).

Gli auditor dovrebbero possedere conoscenze ed abilità di carattere generale e specifiche per poter operare efficacemente nelle discipline per le quali sono impiegati (e vengono, dunque, qualificati), così come descritto nella norma. Tra le competenze a carattere generale che ogni auditor dovrebbe possedere ci sono conoscenze di carattere legale ed economico legate all’ funzionamento delle imprese.

Per il responsabile del gruppo di audit sono richieste capacità aggiuntive e maggior esperienza nella conduzione di audit su sistemi di gestione.

I metodi di valutazione dell’auditor previsti dalla norma sono: riesame delle registrazioni, informazioni di ritorno dal campo, intervista, osservazioni del comportamento, esame (orale/scritto), riesame successivo all’audit (rapporto di audit, interviste con il responsabile del gruppo di audit, ecc.).

Infine la norma si concluse con due utili appendici:

• Appendice A: Guida ed esempi illustrativi delle conoscenze e abilità degli auditor specifiche della disciplina.
• Appendice B: Guida supplementare destinata agli auditor per la pianificazione e la conduzione di audit.

In conclusione si tratta di una norma di contenuti molto ampi, considerando anche le appendici appena citate. Ne consegue che la preparazione di un auditor che sia in grado di applicare le ormai note tecniche di audit, per rendere l’audit estremamente efficace e ad alto valore aggiunto, deve necessariamente comportare, oltre alla lettura della norma e di altro materiale didattico correlato, un certo numero di ore di formazione frontale, qualche esercitazione pratica ed un po’ di esperienza sul campo come osservatore.

Oggi la documentazione del sistema di gestione per la qualità ISO 9001 (o altra certificazione) può essere gestita in modo molto più efficiente che un tempo, grazie soprattutto agli strumenti informatici per la gestione dei documenti in formato elettronico ed alle possibilità offerte dalle applicazioni web per la collaborazione tramite internet.

Ogni sistema di gestione (non solo qualità ISO 9001 o ISO/TS 16949, ma anche ambiente ISO 14001, sicurezza OHSAS 18001, sicurezza delle informazioni ISO 27001, responsabilità sociale, ecc.) si basa sulla documentazione di sistema, costituita da manuale, procedure, istruzioni, documenti di consultazione e modulistica di registrazione. Tali documenti fino al secolo scorso (almeno prima della pubblicazione della norma UNI EN ISO 9001:2000, la c.d. Vision 2000) venivano redatti a computer con un wordprocessor (Microsoft Word su tutti) e poi stampati, quindi sottoposti all’iter di approvazione previsto dalla procedura, infine distribuiti al personale interessato.

Come noto i documenti pertinenti devono essere disponibili sui luoghi di utilizzo, quindi i vari uffici e reparti produttivi. Per adempiere a tale requisito si era soliti predisporre una lista di distribuzione che riportava tutte le funzioni/persone interessate alla procedura a cui veniva fisicamente consegnata copia del documento cartaceo, previa firma della lista di distribuzione. Una prima semplificazione consisteva nel mettere a disposizione “copie comuni” per più dipendenti che operavano nello stesso ufficio o reparto. La copia originale della documentazione di sistema rimaneva solitamente custodita dal responsabile qualità, generalmente insieme ad un’altra copia a disposizione dell’Organismo di Certificazione.

Naturalmente ad ogni revisione di una procedura o istruzione o aggiornamento delle varie liste e documenti di consultazione (ad esempio l’elenco dei fornitori qualificati), si procedeva a generare un numero di copie del documento uguale a quello previsto nella lista di distribuzione e ridistribuire le nuove versioni, avendo cura di ritirare le vecchie copie per evitare che documenti non più in vigore circolassero ancora in azienda. Le copie originali non più valide andavano comunque conservate per un certo lasso di tempo e costituivano il cosiddetto “Archivio Storico della documentazione”.

Poi c’era il problema dei moduli da compilare: essi venivano stampati in formato cartaceo e quindi compilati manualmente dal personale incaricato e conservati nelle diverse istanze come documenti di registrazione.

Con l’avvento e la diffusione dei sistemi informatici e di internet molte cose sono cambiate.

Per la verità non pochi sistemi qualità vengono ancora gestiti nel modo sopra descritto, se non con pochi miglioramenti: le copie cartacee si sono ridotte a favore di versioni elettroniche, molti moduli sono compilati a computer sulla base di un modello, ecc.. In alcuni casi, invece, si è proceduto a semplificare troppo e non si è garantita l’autenticità dei documenti e delle registrazioni volendo abusare di registrazioni a computer senza garantire la responsabilità della stessa, il tutto senza che l’auditor dell’organismo di certificazione abbia di che dissentire. Ad esempio un elenco di documenti-file, contenenti manuale e procedure, memorizzato in una directory denominata “Documenti SGQ” non dà adeguate garanzie del rispetto dei requisiti della norma ISO 9001 se non si è ricorsi ad alcune accortezze.

Oggi, però, gli strumenti messi a disposizione dalla tecnologia sono in grado di fornire tutte le garanzie del caso: esistono sistemi di gestione dei documenti in grado di garantire tutto l’iter di emissione dei documenti, gestire la distribuzione degli stessi ai rispettivi responsabili, mantenere traccia delle revisioni successive e permettere persino la consultazione a chi opera fuori dall’azienda (operatori esterni, consulenti e fornitori). Tra i sistemi di gestione documentale completi cito solo un applicativo open source come Alfresco, ma altri prodotti commerciali di buon livello possono garantire il rispetto di tutti i requisiti normativi incrementando notevolmente l’efficienza della funzione qualità ad un costo contenuto.

Le piccole imprese che non vogliono o non possono investire in prodotti a pagamento oltre una determinata cifra hanno comunque a disposizione strumenti gratis o quasi in grado di incrementare notevolmente l’efficienza di tutto il processo di gestione della documentazione di sistema e rendere la qualità più gradita alle persone che devono seguire le procedure e che non avranno più l’alibi che «la qualità genera soltanto una grande massa di carta ed appesantisce il lavoro».

Occorre innanzitutto stabilire quale sarà il repository documentale dei documenti di sistema, ovvero l’ubicazione o il servizio web nel quale archiviare tutti i documenti e renderli disponibili al personale. In base a quella che è stata la scelta del tool per la redazione dei documenti (Microsoft Office, OpenOffice o altro) si può orientare la scelta della piattaforma tecnologica e degli strumenti correlati.

Il mondo Google, ad esempio, offre la piattaforma Google Drive ove è possibile archiviare tutti i documenti di sistema e renderli disponibili all’interno ed anche all’esterno dell’azienda, tramite un account Google gratuito. Inoltre le persone iscritte alle varie aree documentali potranno ricevere un avviso via email tutte le volte che un documento viene aggiornato.

Naturalmente i documenti in formato editabile dovranno essere memorizzati in un’area riservata al responsabile qualità, per evitare modifiche indesiderate, mentre la condivisione dei documenti dovrà riguardare formati protetti come PDF oppure permettere solo la lettura di procedure ed istruzioni al personale interessato.

Attraverso un’applicazione client, poi, è possibile sincronizzare le directory sul web con delle cartelle omologhe memorizzate su un PC in locale.

Anche la gestione della modulistica potrebbe essere migliorata attraverso la compilazione via web direttamente su Google Drive dei moduli, creati mediante l’applicativo Google specifico.

Sul fronte Microsoft, invece, la soluzione è SkyDrive, area web utilizzabile per la memorizzazione di documenti che è, tra l’altro, molto capiente se si utilizza la versione Office365 della suite Microsoft. In quest’ultimo caso vengono messi a disposizione ulteriori tool per la gestione collaborativa dei documenti sullo SkyDrive, oltre ad un sito Sharepoint ove poter gestire in modo molto efficace ed efficiente tutta la documentazione del sistema qualità.

Entrambe le soluzioni esposte prevedono la gestione della cronologia delle versioni, funzioni di ricerca avanzate e la possibilità di abilitare in modo selettivo gli utenti alle varie cartelle di documenti.

Naturalmente anche altre applicazioni sono in grado di fornire risultati analoghi.

Relativamente all’approvazione dei documenti, ed in generale tutto l’iter di revisione, esso può essere molto semplificato e migliorato dalle funzionalità messe a disposizione dai servizi ed applicazioni sopra citate. Per quanto riguarda la sottoscrizione per approvazione dei documenti è possibile garantire adeguatamente che le versioni dei documenti messi a disposizione siano effettivamente quelle approvate dal responsabile qualità e dalla direzione attraverso un sistema di firme digitali (attenzione non intendo “firme scansionate”, ma vere e proprie firme elettroniche qualificate e valide ad ogni fine di legge).

Un’altra soluzione può essere quella di implementare un sito web apposito per la gestione della documentazione di sistema, con visibilità solo interna ed esterna selezionata. Il sito può essere gestito in modo molto semplice ed efficace con strumenti nati per la gestione dei blog, quale ad esempio WordPress. Tale soluzione si presenta molto utile anche per la gestione delle comunicazioni interne relative al sistema qualità, ambiente, sicurezza, ecc.. Anzi nel caso di sistemi di gestione della sicurezza e salute sul lavoro e di sistemi di responsabilità sociale potrebbe fungere da utile ausilio nella comunicazione, informazione e formazione del personale relativamente al sistema stesso, come peraltro previsto dalle normative di riferimento per tali sistemi di gestione.

Infine il famoso elenco dei documenti validi o documenti controllati può essere generato in modo automatico semplicemente consultando le apposite aree web.

Da un punto di vista comunicativo e motivazionale questi sistemi possono apportare grandi benefici, in primis alla funzione qualità che viene sgravata dall’onere di distribuire la documentazione di sistema, ma anche da tutto il resto del personale che può essere informato dei cambiamenti al sistema in modo meno invasivo e può risparmiare una discreta quantità di tempo nella gestione della propria parte di documentazione e registrazioni relative. Inoltre la consultazione dei documenti del sistema di gestione è possibile dal proprio PC desktop, notebook ed anche tablet.

Se ben progettato il nuovo modo di gestire i documenti dovrebbe comprendere l’uso dell’e-mail per determinate comunicazioni, ma non l’abuso della stessa nella diffusione di documenti di cui spesso si perde traccia e controllo delle versioni.

In conclusione il compito del responsabile qualità e dei suoi collaboratori può essere reso più efficiente, oltre che efficace ed anche più piacevole solo sfruttando le opportunità rese disponibili dagli strumenti del web 2.0.

Con la Legge 11 dicembre 2012 n. 220 “Modifica alla disciplina del condominio negli edifici”, la c.d. “Riforma del Condominio” sono state introdotte numerose novità nella gestione condominiale ed alcune di esse richiedono agli Amministratori di Condomini, siano essi piccoli studi professionali o società di capitali, di dotarsi di una struttura organizzativa idonea.

Se da un lato gli adempimenti e le responsabilità per gli Studi di Amministrazione Condominiale sono cresciute negli ultimi anni, dall’altro i compensi riconosciuti dai condòmini e dal mercato sono troppo bassi per gestire in modo efficace ed efficiente un certo numero di condomini.

Ormai il singolo Amministratore, non dotato di una struttura provvista di tecnologie adeguate, non può più sopravvivere gestendo soltanto qualche condominio.

La gestione amministrativa-fiscale del nuovo Condominio è diventata piccola parte di una serie di attività tecniche e gestionali che è necessario espletare per soddisfare le esigenze dei condomini ed evitare di essere sostituiti dalle nuove organizzazioni di gestione condominiale che, a fronte di una struttura organizzativa composta da pochissime risorse stabili e qualche collaboratore specialistico, mette in campo una organizzazione tecnologica innovativa, supportata dalle nuove tecnologie nel campo della gestione documentale e della comunicazione nell’era del web 2.0.

Premesso che uno Studio di Amministrazioni Condominiali moderno, per poter eccellere sul mercato, può dotarsi di un Sistema di Gestione per la Qualità UNI EN ISO 9001 e farlo certificare da ente accreditato, è utile ricordare che esiste anche una norma UNI di riferimento per l’attività, ovvero la UNI 10801 – Amministrazione condominiale e immobiliare – Funzioni e requisiti dell’amministratore.

L’organizzazione del nuovo Studio di amministrazioni condominiali e dei suoi processi secondo le regole generali della norma ISO 9001 sulla qualità e le regole particolari per l’attività, stabilite dalla UNI 10801, sicuramente potrebbe portare maggior efficacia ed efficienza nelle attività svolte, accrescere la soddisfazione dei propri clienti e conferire, quindi, all’organizzazione maggiore credibilità sul mercato.

La gestione di nuovi e vecchi adempimenti e responsabilità – quali ad es. la creazione e gestione dell’anagrafe di condominio, la gestione della conformità legislativa relativamente alla sicurezza, alla privacy, alle normative applicabili su impianti e strutture edilizie, nonché l’attivazione del sito web del condominio – obbligano l’Amministratore ad acquisire competenze specialistiche di cui normalmente non è dotato.

La gestione un po’ ”allegra” di alcuni Amministratori condominiali che sono incappati in problemi con la Giustizia e la gestione borderline  della conformità normativa e legislativa delle infrastrutture e degli impianti di molti condomini, ha portato molte persone a voler indagare ed approfondire  sulla gestione dell’Amministratore di Condominio, smettendo di fidarsi ciecamente dell’operato del soggetto incaricato dall’Assemblea, magari molti anni addietro, della gestione del condominio in cui si abita. Conseguentemente sono emerse molte anomalie nella gestione condominiale ed alcuni hanno notato che un approccio differente alla gestione del condominio, più trasparente, efficace ed efficiente potrebbe migliorare la vita del condominio.

Gli obblighi di istruzione di base, formazione-addestramento ed iscrizione all’Albo non bastano a qualificare un Amministratore agli occhi dei condomini, occorre far percepire a questi ultimi significativi miglioramenti nella gestione per essere scelti o confermati dall’Assemblea Condominiale.

Dal punto di vista amministrativo occorre comprendere il fatto che molti condomini, soprattutto quelli di più grandi dimensioni, hanno una gestione contabile ed un bilancio con valori analoghi a quelli di una piccola impresa, dove non ci sono utili, ma solo costi. Pertanto l’Assemblea deve comprendere che l’Amministratore non costituisce solo una voce di costo, ma una possibile risorsa per risparmiare costi molto superiori. Infatti se il Condominio è gestito in modo efficiente è possibile ridurre molte voci di costo che incidono in percentuale notevole sul bilancio (ad es. quella del consumo di gas per i condomini riscaldati con impianti di riscaldamento centralizzati).

È possibile stabilire precisi indicatori di performance dell’amministrazione di condominio come si fa per un’azienda. Portare la gestione manageriale di un’impresa nella gestione condominiale vuole anche dire gestire l’Assemblea con strumenti tecnologicamente avanzati per il calcolo delle presenze e dei relativi millesimi e la verbalizzazione delle assemblee (ad esempio tramite notebook dotati di appositi software), oppure ridurre i costi di comunicazione ai condomini tramite PEC e posta elettronica, piuttosto che posta ordinaria.

La relazione dell’Amministratore sul bilancio consuntivo dell’esercizio passato e la presentazione del bilancio preventivo per l’esercizio successivo dovrebbero essere ben dettagliate ed illustrate in modo semplice e chiaro a tutti i condomini dall’Amministratore che, quindi, deve anche possedere doti comunicative non indifferenti per riuscire a far accettare le decisioni prese a tutti.

Introdurre principi basilari del controllo di gestione nella gestione condominiale – quali ad esempio. analisi degli scostamenti fra preventivo (budget) e consuntivo, anche per singole voci – potrebbe migliorare sensibilmente la possibilità di controllo dei costi del condominio da parte dei condomini, per non parlare della gestione finanziaria che, in presenza di un numero sempre maggiore di condomini che ritardano i pagamenti delle spese condominiali, sta diventando sempre più critica.

Tra le novità della Riforma del Condominio si segnala poi la necessità di istituire un sito web del condominio, su richiesta dell’Assemblea, per gestire tutta la documentazione relativa al condominio. Per questa nuova attività l’Amministratore dovrà rivolgersi a partner affidabili per poter da un lato migliorare l’efficacia e l’efficienza nella gestione dei documenti del condominio (convocazioni e verbali di assemblea, bilanci preventivi e consuntivi, contratti con fornitori, regolamento condominiale, pratica di prevenzione incendi, certificazioni di conformità degli impianti, notizie e comunicazioni varie, ecc.), dall’altro garantire la sicurezza delle informazioni gestite, in termini di riservatezza (le informazioni ed i dati personali devono essere conosciuti solo da chi ha il diritto di conoscerli), integrità (correttezza dei dati presenti negli archivi) e disponibilità (i dati devono essere accessibili quando richiesti).  Insomma, un vero sistema di gestione documentale via web può essere visto come un’opportunità, piuttosto che un onere di gestione.

La corretta gestione della privacy (si veda il D.Lgs 196/2003, il c.d. Codice per la protezione dei dati personali), anche a fronte di nuove problematiche che possono emergere, ad es. nell’installazione di un impianto di videosorveglianza, come quella della sicurezza delle aree comuni e di eventuali dipendenti (portiere o custode) e della conformità degli impianti può evitare al condominio possibili contenziosi o sanzioni e, quindi, ridurre i rischi di incorrere in spese impreviste per risarcimenti danni non coperti dall’Assicurazione e sanzioni comminate dagli Organi di Vigilanza (ASL, ecc.). A tal proposito il nuovo DPR 74/2013 relativo alla gestione degli impianti di climatizzazione (vedi articolo) impone agli Amministratori una gestione più accurata dei documenti attestanti le certificazioni degli impianti ed un maggior supporto ai manutentori degli stessi, che non potranno più sobbarcarsi le responsabilità sulle conformità degli impianti senza disporre delle certificazioni relative.

Infine l’Amministratore deve saper coglier le opportunità offerte dalla green economy per dotare il condominio di pannelli fotovoltaici o altre apparecchiature per il risparmio energetico, magari usufruendo delle agevolazioni fiscali, e conseguire così un risparmio di costi per il Condominio nel medio-lungo periodo che dovrà essere dimostrato all’Assemblea mediante indicatori misurabili.

Oggi il nuovo Amministratore Condominiale è una figura che deve possedere competenze molto diversificate, dalla contabilità all’edilizia, dalla privacy all’informatica, ma una sola persona non può più gestire tutti questi aspetti, deve dotarsi di una struttura adeguata, costituita da risorse interne e consulenti esterni che siano veri partner, oltre ad un’infrastruttura tecnologica all’avanguardia e capacità commerciali e di marketing sufficienti per acquisire nuovi clienti.

Scarica la nuova Riforma del condominio

Scarica il Vademecum – Il condominio e la privacy – versione pagina singola

La norma UNI 10721:2012 “Servizi di controllo tecnico applicati all’edilizia e alle opere di ingegneria civile” è stata recentemente oggetto di un seminario presso la sede UNI. Esaminiamone gli aspetti salienti evidenziati commentandone le principali criticità applicative.

La nuova norma UNI 10721 si inserisce nel campo del Controllo tecnico applicato all’edilizia e alle opere di ingegneria civile e trae le sue origini da due capisaldi fondamentali con la finalità ottimizzare la qualità del costruito:

• Dalla constatazione della complessità del processo di costruzione nel quale operano numerosi soggetti (committenti pubblici e privati, progettisti, direttori dei lavori, imprese esecutrici, subappaltatori, compagnie di assicurazioni,…).
• Dalla convinzione, condivisibile, che un controllo “standardizzato” e operato in qualità possa portare ad una migliore qualità delle opere e, quindi, a minori costi complessivi.

Questo secondo punto è supportato dalle evidenze oggettive di numerose opere, soprattutto pubbliche, che vengono a costare molto di più del previsto alla collettività e talvolta restano addirittura incompiute. In tutte q situazioni una maggiore qualità nel processo edilizio avrebbe sicuramente evitato simili sprechi per la collettività.

La norma definisce l’attività di controllo tecnico ed i criteri generali concernenti l’affidamento di tale servizio ed è  applicabile nell’ambito di tutti i contratti di controllo, ma può anche costituire una base per forme di certificazione della qualità di una costruzione, cioè della rispondenza garantita a tutti o ad alcuni requisiti fondamentali stabiliti a priori.

La norma UNI 10721 consente di avere un riferimento comune che permette a tutti i soggetti coinvolti di agire in modo coordinato e di affiancare alle verifiche “tradizionali” (controlli dell’impresa esecutrice, controlli della Direzione Lavori, Collaudi istituzionali) un’attività di controllo affidata ad organismi terzi che garantisce al committente la reale qualità dell’opera, sotto il profilo della durabilità e prevenzione dei rischi ma anche della fattibilità e del rispetto dei tempi e dei costi di realizzazione.

Una siffatta norma di controllo complessivo è da un lato uno standard da applicare a tutte le fasi del processo produttivo, possibilmente a partire da quelle iniziali; dall’altro costituisce una metodologia propria degli organismi di ispezione indipendenti (OdI), ma anche un riferimento condiviso per qualunque tipo di operatore.

La UNI 10721:2012 tiene conto del complesso quadro normativo esistente (spesso cogente) e ne integra i contenuti e/o le carenze di applicazione; è, inoltre, modulabile ai fini di una valutazione probabilistica del rischio, senza entrare, però, in dettagli sul calcolo dell’entità del rischio, trattato diffusamente in altre norme e linee guida UNI ed ISO (UNI ISO 31000, ISO 31010, ISO Guide 73, ISO/IEC 27005).

La norma comprende tutti gli aspetti del controllo di qualità, ma in modo sufficientemente elastico da potersi adattare alle specifiche opere oggetto del controllo.

Gli oggetti del controllo tecnico delineati dalla UNI 10721:2012 sono:

• il progetto esecutivo e/o costruttivo;
• l’esecuzione dell’opera;
• Gli elaborati destinati alla tracciabilità dell’opera ai fini di uso, esercizio, manutenzione, ecc (as built, manuali di uso e manutenzione, ecc.).

La prima fase di controllo trattata dalla norma è la verifica del progetto, sotto gli aspetti di:

• Controllo di completezza, chiarezza e coerenza;

• Controllo di affidabilità;

• Controllo di rispondenza dei requisiti della costruzione.

Tale controllo è determinante nel fissare i punti cardine del progetto e definire le relazioni tra esigenze e soluzioni progettuali ed è anche in linea con il Codice degli Appalti Pubblici e il Regolamento a livello di principi generali ed aspetti del controllo (definiti dal DPR 207/2010 che regolamenta, tra l’altro, l’attività di verifica del progetto di opere pubbliche ai fini della sua validazione).

Per quanto riguarda la verifica della esecuzione, viene stabilita la necessità di redigere – da parte dell’OdI -un piano dei controlli comprendente:

• I momenti della lavorazione ritenuti critici che saranno oggetto di verifica;
• La frequenza dei controlli da effettuare a campione;
• I controlli interni dell’impresa su materiali e lavorazioni da rendere disponibili all’organismo di ispezione.

L’attività ispettiva di controllo prende in esame i risultati dei controlli esercitati dai diversi soggetti, li completa, li sistematizza e li interpreta al fine di ottenere una valutazione risultante da correlare al livello di rischio prefissato a cui è connessa anche la frequenza dei controlli effettuati in cantiere.

Il ciclo virtuoso del controllo in fase di esecuzione comprende, dunque, la definizione dei requisiti stabiliti per l’opera – che nascono dalle esigenze che dovrà soddisfare e comprendono naturalmente i requisiti cogenti applicabili. Il successivo esame del progetto serve a determinare le criticità dell’intervento e – quindi – la determinazione dei controlli da effettuare con la relativa frequenza e metodi di campionamento da applicare. Lo sviluppo del piano dei controlli (definito come il “Documento elaborato dall’organismo di ispezione, che pianifica l’attività di controllo in cantiere, ivi compresi i punti e le modalità di interfacciamento con i controlli interni dell’impresa e quelli della Direzione Lavori. Nel piano dei controlli sono anche individuati i punti critici del processo di costruzione nei quali l’organismo di ispezione intende intervenire”) presuppone una valutazione dei rischi (rischio = “Combinazione della probabilità di accadimento di un evento dannoso e delle conseguenze di quell’evento”)  dell’intervento ovvero una identificazione dei possibili eventi negativi per la qualità dell’opera con la corrispondente valutazione dell’impatto sull’opera e la misura della relativa probabilità di accadimento di tali eventi. I rischi così ponderati e classificati come più importanti saranno monitorati attraverso i controlli in fase di esecuzione.

L’Appendice A (informativa) della norma riporta i criteri guida per l’individuazione del contenuto del controllo tecnico in relazione ai requisiti della costruzione del tipo “Edilizia” (in futuro ci si auspica che possano essere pubblicate altre appendici per altre tipologie di opere, ad esempio per le opere infrastrutturali).

I requisiti della costruzione recepiti dalla norma sono quelli del C.P.R. 305; i 7 requisiti fondamentali richiesti ad una costruzione, secondo il Regolamento U.E. n. 305/2011 sono:

1. Resistenza meccanica e stabilità;
2. Sicurezza in caso di incendio;
3. Igiene, salute e ambiente;
4. Sicurezza e accessibilità nell’uso;
5. Protezione contro il rumore;
6. Risparmio energetico e ritenzione del calore;
7. Uso sostenibile delle risorse naturali.

Tali requisiti fondamentali che seppur espressamente normati, spesso non sono facili da recuperare visto l’ampio panorama della normativa cogente (N.T.C., norme per la marcatura CE dei prodotti, ecc.).

Per ognuno di tali requisiti nell’Appendice sono poi indicati i controlli specifici da effettuare sulla costruzione o sue parti, descritti secondo il seguente schema:

a)      Esplicitazione del requisito: è la descrizione del requisito così come formulata nel Regolamento UE n. 305/2011.

b)      Oggetto dei controlli: sono specificate le parti della costruzione (strutture, finiture e impianti) che sono chiamate in causa ai fini del soddisfacimento dello specifico requisito in esame.

c)       Controllo del progetto: vengono descritti i controlli da effettuare ai fini di una verifica sia formale che sostanziale degli aspetti del progetto relativi allo specifico requisito in esame.

d)      Controllo della esecuzione: relativamente allo specifico requisito, devono essere controllati, seguendo il piano dei controlli, la rispondenza dell’esecuzione al progetto ed ai suoi elaborati, il corretto interfacciamento con il piano della qualità dell’impresa (obbligatorio per le imprese certificate ISO 9001), la correttezza dei dati di controllo acquisiti da altri soggetti, con loro eventuale integrazione, la correttezza e completezza delle certificazioni, attestazioni, ecc. relative a materiali e componenti.

La norma comunque mette in evidenza luci ed ombre del controllo di parte terza. Se da un lato la codificazione dei controlli garantisce una maggiore qualità delle costruzioni, soprattutto per definire con chiarezza esigenze, obiettivi in fase di progettazione e rispetto dei tempi, dei costi e della qualità in fase di esecuzione; dall’altro vengono allocate risorse insufficienti ai controlli, spesso relegati a mere due diligence svolte per fini assicurativi su edifici ormai completati.

Quest’ultimo aspetto, riguardante i controlli a fini assicurativi, mette in evidenza le enormi problematiche dei controlli in esecuzione per il rilascio della polizza decennale postuma, descritte nell’evento UNI precedentemente citato, ma alle quali non si sta ancora cercando di porre rimedio. In particolare la necessità per l’impresa di stipulare una polizza che implica l’esecuzione obbligatoria di un controllo di parte terza comporta spesso la volontà di risparmiare il più possibile sui costi del controllo, ovvero far svolgere il controllo solo sulla parte strutturale dell’edificio e/o rimandare il controllo ad opera finita, quando l’Organismo incaricato del controllo non è più in grado di svolgere determinati controlli – anche critici – che necessariamente dovevano essere svolti in itinere.

Il punto critico è che l’Appaltatore e l’Assicuratore firmano un compromesso di polizza che non è coerente con il contratto di controllo tecnico sottoscritto dall’Appaltatore stesso con l’Organismo di Controllo (normalmente un organismo di ispezione di tipo A accreditati secondo la ISO 17020) ed il “profilo del controllo” non è “gestito” dall’Assicuratore. Di conseguenza non si ha nessuna garanzia che il contenuto del profilo sia adeguato e che il controllo sia riferito a tutti i sottosistemi oggetto di garanzia diretta.

Nella pratica si rileva pertanto una notevole disomogeneità nel profilo di controllo tra i Controllori Tecnici in relazione a controllo del progetto, numero di visite in cantiere, attività durante le visite, know-how dell’ispettore, check-list impiegate, ecc..

I Controllori al momento non dispongono di dati statistici utili a definire modalità di campionamento affidabili su base statistica e ciò rende disomogenei i controlli effettuati con una conseguente tendenza al livellamento verso il minor costo, ovvero verso il minimo controllo. Inoltre, nel caso che emergano criticità durante i controlli, l’Impresa appaltatrice può esercitare “pressioni” sul Controllore, che viene pagato dall’Impresa.

In conclusione ci si augura che lo sforzo notevole per produrre questa revisione della norma – nata con l’obiettivo di garantire la sicurezza nelle costruzioni ed anche l’eticità e legalità delle opere attraverso  la sinergia dei controlli documentati nel piano dei controlli per la normalizzazione del rischio – non venga vanificato dal “sistema” oramai imperante che relega spesso i controlli sulla progettazione ed esecuzione delle opere come ostacoli burocratici alla realizzazione di opere pubbliche che, spesso, falliscono l’obiettivo per il quale sono state concepite in termini di utilità, tempi e costi.

E’ entrato in vigore il 12 luglio scorso il D.P.R. n. 74 del 16/04/2013 (Regolamento recante definizione dei criteri generali in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda per usi igienici sanitari) che apporta nuove modifiche alla normativa in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria.

Con questo decreto si regolarizzano molti aspetti (dalle temperature consentite alla documentazione obbligatoria da inserire negli impianti) e viene data particolare importanza alle attività necessarie al contenimento dei costi e alla riduzione dei consumi, in un’ottica sempre più orientata ad una gestione efficiente degli impianti termici.

Il Decreto 74 è funzionale al recepimento della Direttive UE 2002/91 (Rendimento Energetico in Edilizia) e 2010/91.

Il DPR 74/2013 sancisce innanzitutto i limiti di temperatura, non solo per gli impianti di riscaldamento, ma anche per quelli di raffrescamento (climatizzazione estiva):

• Durante il funzionamento dell’impianto di climatizzazione invernale la media ponderata delle temperature dell’aria nei singoli ambienti riscaldati non deve superare i 20°C + 2°C di tolleranza per gli edifici ad uso ufficio e/o abitazione.
• Durante il funzionamento dell’impianto di climatizzazione estiva la media ponderata delle temperature dell’aria nei singoli ambienti condizionati non deve essere minore di 26°C-2°C di tolleranza per tutti gli edifici.

In entrambi i casi il mantenimento della temperatura dell’aria negli ambienti entro i limiti fissati non deve comportare sprechi di energia.

Passiamo ad esaminare i principali punti della nuova legge che impattano l’attività dei manutentori di impianti termici e di condizionamento, in particolare i cosiddetti “terzi responsabili” che attuano un sistema di gestione per la qualità certificato UNI EN ISO 9001:2008.

All’Art. 6, comma 1 si afferma che «L’esercizio, la conduzione, il controllo, la manutenzione dell’impianto termico e il rispetto delle che può delegarle ad un terzo.» (il c.d. “Terzo Responsabile”).  Al comma 2, poi, si stabilisce che «In caso di impianti non conformi alle disposizioni di legge, la delega di cui al comma 1 non può essere rilasciata, salvo che nell’atto di delega sia espressamente conferito l’incarico di procedere alla loro messa a norma. Il delegante deve porre in essere ogni atto, fatto o comportamento necessario affinché il terzo responsabile possa adempiere agli obblighi previsti dalla normativa vigente e garantire la copertura finanziaria per l’esecuzione dei necessari interventi nei tempi concordati. Negli edifici in cui sia instaurato un regime di condominio, la predetta garanzia e’ fornita attraverso apposita delibera dell’assemblea dei condomini. In tale ipotesi la responsabilità degli impianti resta in carico al delegante, fino alla comunicazione dell’avvenuto completamento degli interventi necessari da inviarsi per iscritto da parte del delegato al delegante entro e non oltre cinque giorni lavorativi dal termine dei lavori. »

Nella sostanza dei condomini che dispongono di un Amministratore il delegante è il Condominio, nella persona del suo Amministratore Condominiale, il delegato è il manutentore Terzo Responsabile.

Al comma 3 si precisa che «Il responsabile o, ove delegato, il terzo responsabile rispondono del mancato rispetto delle norme relative all’impianto termico, in particolare in materia di sicurezza e di tutela dell’ambiente. L’atto di assunzione di responsabilità da parte del terzo, anche come destinatario delle sanzioni amministrative, applicabili ai sensi dell’articolo 11, deve essere redatto in forma scritta contestualmente all’atto di delega.»

Nella realtà sono presenti numerosi impianti termici condominiali che non soddisfano, essenzialmente per vetustà, tutti i requisiti normativi e di legge. In molte di queste situazioni il manutentore incaricato come Terzo Responsabile ha segnalato le carenze presenti, sia formali, sia tecniche, ma l’Amministratore non ha provveduto a far adeguare l’impianto ai requisiti cogenti. Talvolta ciò accade per mancanze dell’Amministratore di Condominio che non ha adeguatamente conservato tutte le dichiarazioni di conformità che dovrebbero essere presenti o non ha voluto operare attivamente per dar seguito alle segnalazioni del manutentore, ad es. non ha provveduto a far rinnovare il certificato di prevenzione incendi. In altri casi è l’Assemblea Condominiale che non ha voluto deliberare le spese necessarie per adeguare l’impianto o addirittura per rinnovarlo anche parzialmente, più o meno a conoscenza delle conseguenze che tale latitanza può comportare.

Nella maggior parte di queste situazioni il manutentore, incaricato come terzo responsabile, ha fatto buon viso a cattivo gioco e per non alterare i difficili equilibri con l’Amministratore ha effettuato le manutenzioni ordinarie previste dalle norme e dalla documentazione tecnica dell’impianto (quando presente), accettando di fatto la nomina come terzo responsabile nel libretto di centrale e glissando sulle carenze dell’impianto nei rapporti di controllo periodici.

Ora il nuovo DPR 74/2013 indica chiaramente che l’eventuale terzo responsabile dell’impianto è responsabile di tutte le carenze normative dello stesso e, in caso di non accettazione della nomina come terzo responsabile, tale responsabilità ricade sull’Amministratore del condominio. Per le relative sanzioni si rimanda all’articolo 15, comma 5, del decreto legislativo del 19 agosto 2005, n. 192 (sanzione amministrativa da 500 a 3.000 euro).

In caso di interventi che si rendessero necessari per adeguare l’impianto alle normative, la segnalazione del terzo responsabile deve trovare risposta positiva in tempi brevi (10 giorni), altrimenti la carica di terzo responsabile decadrà automaticamente.

Inoltre il terzo responsabile dovrà comunicare in tempi rapidi la sua nomina o revoca dall’incarico alla Regione o Provincia Autonoma competente che, quindi verrebbe a conoscenza immediatamente di eventuali carenze possibili.

L’incarico di terzo responsabile, poi, non può essere delegato o subappaltato ad altri soggetti manutentori e solo occasionalmente si potranno subappaltare ad altri singole attività. Questo dovrebbe porre un freno a situazioni di subappalto diffuso da parte di grandi imprese di servizi di manutenzione che, anziché svolgere con proprio personale le attività di conduzione e gestione degli impianti, sono solite subappaltare a terzi le attività di manutenzione ordinaria e, talvolta, anche il ruolo di terzo responsabile. Tale “catena di subforniture” ha provocato ribassi consistenti nei compensi del manutentore che esegue effettivamente le operazioni di conduzione  e gestione dell’impianto, senza alcun controllo sulla qualità del servizio svolto, a tutto svantaggio degli utenti degli impianti termici. In tal modo alcuni sono riusciti ad eludere l’obbligo vigente, per il manutentore terzo responsabile di impianti termici superiori ai 350 kw, di possedere la certificazione di qualità  ISO 9001, ribadita dal comma 8 dell’art. 6 (in alternativa è richiesta un’attestazione SOA difficilmente ottenibile per piccole realtà della manutenzione di impianti termici).

Le operazioni di controllo e manutenzione dell’impianto possono essere affidate a imprese abilitate ai sensi del D.M. del M.I.S.E. n. 37 del 22/01/08 (Riordino delle disposizioni in materia di attività di installazione degli impianti all’interno degli edifici). L’impresa sarà tenuta a eseguire la manutenzione conformemente alle prescrizioni tecniche dell’impianto, rappresentate da:

1. Operazioni di manutenzione e controllo con relativa frequenza documentate dal progettista dell’impianto; oppure in caso di assenza
2. Istruzioni tecniche di manutenzione e controllo con relativa periodicità definite del fabbricante;  oppure in caso di assenza
3. Operazioni di manutenzione e controllo con relativa frequenza indicate nelle norme UNI e CEI per quel tipo di impianto.

Il DPR 74/2013 stabilisce poi che (art. 7, comma 4) «Gli installatori e i manutentori degli impianti termici, abilitati ai sensi del decreto del Ministro dello sviluppo economico 22 gennaio 2008, n. 37, nell’ambito delle rispettive responsabilità, devono definire e dichiarare esplicitamente al committente o all’utente, in forma scritta e facendo riferimento alla documentazione tecnica del progettista dell’impianto o del fabbricante degli apparecchi:

a) quali siano le operazioni di controllo e manutenzione di cui necessita l’impianto da loro installato o manutenuto, per garantire la sicurezza delle persone e delle cose;

b) con quale frequenza le operazioni di cui alla lettera a) vadano effettuate. »

Compito dell’Amministratore è l’acquisizione dei documenti che raccolgono l’attività e le operazioni di controllo e manutenzione dell’impianto.

Il nuovo Decreto apporta nuovamente modifiche al preesistente “Libretto di Centrale” o “Libretto di Impianto”, istituendo il nuovo “Libretto di impianto per la climatizzazione”:  ogni impianto dovrà essere munito dell’apposito libretto che dovrà essere comunque mantenuto anche in caso di passaggio di impianto autonomo o di vendita dell’unità immobiliare o dell’immobile.

Se l’Amministratore ha delegato l’incarico di controllo dell’impianto ad un terzo responsabile sarà tenuto ad informarsi se il libretto esiste ed è aggiornato e dovrà anche accertarsi se i rapporti di efficienza energetica (allegati al libretto d’impianto) sono aggiornati, integrati e indicizzati correttamente. Questi rapporti di controllo conterranno una sezione, strutturata come check-list, dove potranno essere riportati i possibili interventi migliorativi al rendimento energetico dell’impianto in modo economicamente conveniente.

I controlli dell’efficienza energetica dell’impianti sono regolamentati dall’art. 8 relativamente a tipi di controllo, frequenza (periodica o in occasione di modifiche apportate all’impianto) e modalità di registrazione (con riferimento all’allegato A del Decreto). Il nuovo “Rapporto di controllo di efficienza energetica” – che sostituirà il vecchio rapporto di controllo – dovrà essere conservato in copia dall’Amministratore assieme al libretto d’impianto (attualmente sono rari i casi in cui l’Amministratore del Condominio si preoccupa di ciò, delegando implicitamente tale compito al manutentore); tale rapporto dovrà anche essere trasmesso informaticamente alla Regione o Provincia Autonoma competente. Questo porterà a modificare alcune prassi applicate dai manutentori, ma richiederà che gli Enti preposti si attrezzino tempestivamente per accogliere tali rapporti e, auspicabilmente, effettuino controlli in casi di anomalie registrate.

Il Decreto definisce anche che se il generatore di calore, durante le operazioni di controllo, risulta avere rendimenti di combustione inferiori ai limiti stabiliti, esso deve essere oggetto di interventi per essere ricondotto ai valori fissati. Se l’intervento comporta delle spese, esse dovranno ottenere l’approvazione dell’assemblea, ma resta comunque l’obbligo di sostituire il generatore non in regola entro 180 giorni dalle operazioni di verifica.

Analoghe prescrizioni sono stabilite per macchine frigorifere e pompe di calore, nonché per impianti di cogenerazione dell’energia.

Il Decreto prevede anche l’incompatibilità fra il venditore di energia e il ruolo di terzo responsabile, a meno che la fornitura non sia regolata dal cosiddetto “Contratto di Servizio Energia” regolato dal D.Lgs. n. 115 del 30/05/2008 (Attuazione della direttiva 2006/32/CE relativa all’efficienza degli usi finali dell’energia e i servizi energetici), cioè un contratto che disciplina l’erogazione dei beni e servizi necessari alla gestione ottimale ed al miglioramento del processo di trasformazione e di utilizzo dell’energia.

L’art. 9 del Decreto sancisce che le autorità competenti dovranno effettuare delle ispezioni per verificare l’efficienza energetica degli impianti e la loro conformità alle normative vigenti ed al progetto dell’impianto. Tali ispezioni, non previste per gli impianti più piccoli (di potenza inferiore ai 10 kw), possono essere delegate ad enti esterni a Regioni e Province, ma possono anche essere sostituite dai rapporti di controllo emessi dai manutentori per gli impianti minori (impianti termici di potenza fra 10 e 100 kw).

Le ispezioni, che sono regolamentate dall’Allegato C del Decreto (è richiesta indipendenza dall’impianto e dall’installatore, competenza professionale e conoscenza delle norme), verranno effettuate dando priorità agli impianti più critici (quelli per i quali non si è ricevuto rapporto di controllo, quelli più vecchi, ecc.).

Le Regioni e le Province Autonome avranno poi un certo margine di discrezionalità per poter variare alcuni parametri del Decreto, tra cui le modalità di accreditamento degli organismi a cui delegare le ispezioni sugli impianti.

Il DPR 74/2013, infine, abolisce alcuni articoli del DPR 412/1993.

In conclusione il Decreto in oggetto richiederà un adeguamento delle prassi e delle procedure delle imprese che erogano servizi di manutenzione, conduzione e gestione di impianti termici in qualità di terzo responsabile. Essendo la maggior parte di tali organizzazioni certificate UNI EN 9001 per poter operare su impianti termici di potenza superiore ai 350 kw, esse dovranno revisionare al più presto il loro sistema di gestione per la qualità, adeguandolo alle nuove procedure che non potranno più ammettere situazioni ambigue di assunzione di incarichi di terzo responsabile su impianti non conformi alla normativa vigente relativamente sicurezza e all’efficienza energetica degli impianti. Sarà poi compito degli auditor degli organismi di Certificazione verificare il rispetto delle nuove disposizioni di legge, senza ammettere deroghe.

Anche gli Amministratori condominiali, il cui operato è stato recentemente regolamentato dalla riforma del condominio, non potranno più evitare di assumersi le responsabilità per impianti non conformi e dovranno riferire all’assemblea condominiale le situazioni anomale segnalate dal manutentore.

DPR n. 74 del 16-04-2013

DPR74-2013-AllA

DPR74-2013-AllB

DPR74-2013-AllC

La ISO/IEC 27001, norma contenente i requisiti per un sistema di gestione della sicurezza delle informazioni, è in corso di revisione e la sua pubblicazione è prevista per l’autunno del 2013. La revisione riguardeà essenzialmente l’armonizzazione della norma alla ISO Guide 83 che prevede uno schema univoco per tutte le norme sui sistemi di gestione, a cui si stanno man mano adeguando gli standard di recente e futura pubblicazione.

Tale allineamento comporterà che tutte le norme riporteranno un significativo testo comune e ciò porterà un indubbio vantaggio per le organizzazioni che risparmieranno tempo nell’applicare le norme stesse, grazie all’integrazione tra i vari Sistemi di Gestione. Naturalmente ciò comporterà – per le organizzazioni già certificate per più sistemi – la necessità di revisionare la documentazione del sistema di gestione (integrato).

Il testo comune prevede i seguenti capitoli  a struttura comune : Introduzione, Norme di riferimento, Termini e definizioni, Contesto dell’organizzazione, Guida e Direzione (Leadership), Pianificazione, Supporto, Operatività (Operation), Valutazione delle Prestazioni e Miglioramento.

Altre modifiche riguarderanno la S.O.A., la comprensione del contesto dell’organizzazione, la Business Continuity, l’allineamento del Risk Assessment alla ISO 31000 e l’aggiornamento dei controlli di sicurezza dell’Annex A. Proprio per quest’ultimo motivo si prevede l’emissione congiunta della nuova ISO 27002 che rappresenta la linea guida per l’attuazione dei controlli.

Finora la ISO 27001 (pubblicata anche in versione italiana dall’UNI come UNI CEI ISO/IEC 27001) ha avuto un numero limitato di certificazioni in Italia, soprattutto se consideriamo che la certificazione di molet organizzazione è multisito e, quindi, il numero di certificati emessi è molto superiore alle aziende certificate.

Da un lato questo può essere imputabile ad un approccio un po’ “high-level” della norma che, pertanto, può essere applicata in modo completo solo dalle organizzazioni più grandi che dispongono di risorse e di personale dalle competenze adeguate.

Dall’altro la scarsa propensione delle PMI a tutto ciò che può ridurre i rischi del business, ma che richiede risorse dedicate per farlo ne ha impedito la diffusione capillare come è avvenuto per altri schemi. In questo contesto anche la privacy, a seguito dell’eliminazione dell’obbligo di redigere il DPS, è stata dimenticata da molte organizzazioni di medio-piccole dimensioni.

Il filo conduttore è sempre la sopravvivenza a cui mirano molte PMI in questo momento di crisi, trascurando diversi aspetti di miglioramento dell’efficienza e di riduzione dei rischi. Proprio i rischi legati alla sicurezza delle informazioni sono tra quelli trascurati, oggi che da un lato stanno crescendo i crimini informatici ed i reati legati al furto di informazioni di valore, dall’altro le aziende sono sempre più dipendenti dai sistemi informatici.

Sicuramente arrivare alla certificazione ISO 27001 è impegnativo e costoso (il numero di giornate di audit previste dallo schema di accreditamento è molto superiore a  quello della ISO 9001, a parità di dimensioni dell’organizzazione), ma questo non vuol dire che non si possa recepire l’approccio della norma in modo più semplificato ed attuare comunque i controlli che si ritiene adeguati a seconda del rapporto costo/beneficio (=riduzione del rischio) che essi possono portare.

Un sistema di gestione per la sicurezza delle informazioni ISO 27001 richiede, poi, un approccio culturalmente avanzato ed una conoscenza profonda dei processi aziendali e dell’impatto della sicurezza delle informazioni su di essi.

Purtroppo molte realtà ignorano che sicurezza delle informazioni non significa soltanto sicurezza dei sistemi informatici garantita attraverso l’adozione di un buon antivirus. Gli aspetti trattati dal SGSI ISO 27001 (e dai controlli della ISO 27002) sono molteplici e degni di nota: si va dalla sicurezza fisica dei locali (prevenzione e mitigazione degli effetti di incendi, allagamenti, inondazioni ed altri fenomeni naturali, prevenzione di furti ed altri atti criminosi) a quella logica dei sistemi informativi. Soprattutto si considerano tutti gli aspetti che possono minare la continuità dell’operatività aziendale (che genera profitti): dal furto di informazioni importanti all’interruzione dei servizi per le cause più disparate, il tutto considerando che le minacce più pericolose non sempre vengono dall’esterno dell’azienda, ma talvolta sono rappresentate da dipendenti e collaboratori infedeli o semplicemente incauti.

Ma quali sono le organizzazioni che più si avvantaggerebbero – sia dal punto di vista della riduzione dei rischi operativi, sia da quello dell’immagine sul mercato dall’applicazione di un sistema di gestione per la sicurezza delle informazioni ISO 27001? Sicuramente anzitutto Banche ed Istituti di Credito, Società finanziarie, Assicurazioni; insomma chi tratta flussi di denaro ed operazioni ad essi correlate tramite sistemi informatici. Tra esse forse le Compagnie di Assicurazioni (che trattano anche dati sensibili legati a polizze infortuni e malattie) sono probabilmente più lontane dallo standard ISO 27001, anche perchè sono costituite anche da piccole Agenzie che, di fatto, sono realtà con poco personale e con un’infrastruttura informatica ridotta per cui non dispongono di mezzi propri sufficienti per approcciare lo standard ISO 27001.

Per il resto tutte le realtà che trattano dati ed informazioni, anche riservate, in outsourcing per conto di organizzazioni più grandi, come quelle sopra citate, oppure Enti Pubblici potrebbero trovare nell’applicazione dei principi della ISO 27001 (e ISO 27002) valore aggiunto per garantire al cliente un servizio più sicuro. Dunque i vantaggi sarebbero sia dal punto di vista di riduzione del rischio di business, sia dal punto di vista commerciale e di marketing, presentandosi come organizzazione certificata per la sicurezza delle informazioni.

Infine tutte le organizzazioni che forniscono servizi amministrativi, legali e di assistenza fiscale o consulenza del lavoro trattano dati sensibili o comunque riservati per conto dei propri clienti, ma non sempre attuano quelle misure di sicurezza che sono auspicate anche dal Codice della Privacy nel Disciplinare dell’Allegato B. Per esse – parliamo di Studi Legali, Studi di Commercialisti o Società di Professionisti nel medesimo settore, Consulenti del Lavoro, ecc. – l’impatto della ISO 27001 potrebbe essere eccessivamente oneroso, soprattutto per le realtà più piccole, ma applicarne i principi, gli obiettivi di controllo ed i controlli delle ISO 27001/27002 potrebbe ridurre sensibilmente i rischi di business legati alla perdita di Riservatezza, Integrità e Disponibilità delle Informazioni.

Leggi il documento ACCREDIA sulla nuova norma

Al sito http://www.iso27001security.com/index.html (in lingua inglese) sono disponibili numerosi documenti, liberamente scaricabili, sull’implementazione del sisttema di gestione della sicurezza delle informazioni (o ISMS, Information Security Management System).

La norma internazionale ISO/IEC 17021:2011 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – revisione della ISO/IEC 17021:2006, applicabile agli organismi che effettuano la certificazione dei sistemi di gestione aziendale (SGQ, SGA, SCR, SSI, FSM, ecc) è entrata completamente in vigore il  1° febbraio 2013 termine ultimo per l’implementazione della norma da parte degli Organismi di Certificazione.

La norma prescrive nuovi requisiti per la conduzione degli audit da parte degli organismi di certificazione e per la competenza degli auditor, con l’obiettivo di accrescere il valore della certificazione per le organizzazioni del settore pubblico e privato e per i loro utenti, assicurando l’affidabilità dei certificati ISO 9001, 14001, 22000 e altri.

Nel corso dei prossimi mesi vedremo se gli intendimenti dell’Ente normatore saranno stati rispettati in un settore, quello delle certificazioni, ove il mercato e l’opinione pubblica ha sminuito il valore delle certificazioni ISO da quando, ad inizio anni ’90, le prime aziende italiane avevano approcciato entusiaste questo nuovo sistema per attestare la propria attenzione alla qualità del prodotto e del servizio ed alla soddisfazione del cliente.

Oggi, leggendo la nuova norma con l’esperienza dell’ultimo decennio di certificazioni, verrebbe da dubitare che le cose cambino solo perché l’ISO ha deciso di revisionare la norma precedente che, comunque, avrebbe già dovuto dare adeguate garanzie al mercato sulle certificazioni rilasciate.

Sarebbe opportuno riflettere su alcuni passi della norma per ripensare a quello che è stato fatto in questi ultimi anni.

Sui requisiti relativi a indipendenza, imparzialità ed assenza di conflitti di interesse non varrebbe la pena di perdere tempo in “valutazioni dei rischi di imparzialità”, tanto il più grosso conflitto di interesse è sicuramente quello che l’organizzazione certificanda è il cliente dell’Organismo di Certificazione (OdC) e che, quindi, lo paga direttamente: come potrà l’OdC mettersi di traverso nei confronti di chi lo paga? Di questi tempi poi…

Ad esempio la ISO 17021 prescrive che l’audit di fase 1 (o stage 1, noto anche come verifica documentale) deve essere eseguito per:

a)      sottoporre ad audit la documentazione del sistema di gestione del cliente (tutta o solo il Manuale Qualità e le procedure obbligatorie per lo schema SGQ?);

b)      valutare la localizzazione e le condizioni particolari del sito del cliente e intraprendere uno scambio d’informazioni con il personale del cliente al fine di stabilire il grado di preparazione per l’audit di fase 2 (il classico “giro in azienda” per prendere visione di tutte le attività svolte, dei vari stabilimenti ed unità operative e per rendersi conto di eventuali criticità dal punto di vista della qualità del prodotto, della sicurezza o delle disposizioni ambientali a seconda dello schema applicabile);

c)      riesaminare lo stato e la comprensione del cliente riguardo i requisiti della norma, con particolare riferimento alla identificazione di prestazioni chiave o di aspetti, processi, obiettivi e funzionamento significativi del sistema di gestione (ovvero: il cliente ha capito cosa significa certificazione del sistema di gestione?);

d)      raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, i processi e la(e) localizzazione(i) del cliente, compresi i relativi aspetti legali e regolamentati e la conformità ad essi (per esempio qualità, ambiente, aspetti legali relativi all’attività del cliente, rischi associati, ecc.);

e)      riesaminare l’assegnazione di risorse per l’audit di fase 2 e concordare con il cliente i dettagli dell’audit di fase 2 (se non ci si è capiti bene in fase di offerta e si ritiene che siano necessari più giorni/uomo del previsto per svolgere l’audit è il momento di dirlo);

f)       mettere a fuoco la pianificazione dell’audit di fase 2, acquisendo una sufficiente conoscenza del sistema di gestione e delle attività del sito del cliente, con riferimento ai possibili aspetti significativi (raccolti tutti gli elementi importanti ci si aspetta un piano di audit basato sui processi reali dell’azienda e ben strutturato);

g)      valutare se gli audit interni e il riesame da parte della direzione siano stati pianificati ed eseguiti e che il livello di attuazione del sistema di gestione fornisca l’evidenza che il cliente è pronto per l’audit di fase 2 (normalmente in fase di verifica di stadio 1 non sono stati fatti tutti gli audit interni e nemmeno il riesame che segue ad essi, altrimenti l’organizzazione sarebbe già pronta per la fase 2, ma è opportuno invece anticipare lo stage 1 per capire se si sta andando nella direzione giusta).

Secondo la norma per la maggior parte dei sistemi di gestione, è raccomandato che almeno una parte dell’audit di fase 1 sia effettuata presso le sedi del cliente per poter conseguire gli obiettivi sopra stabiliti, ma personalmente non credo che gli obiettivi possano essere perseguiti senza mettere piede in azienda; purtroppo la norma dà la possibilità agli Organismi di Certificazione di fare un po’ come vogliono per risparmiare tempo.

Lo scopo dell’audit di fase 2 è di valutare l’attuazione, compresa l’efficacia, del sistema di gestione del cliente. L’audit di fase 2 deve aver luogo presso il(i) sito(i) del cliente e deve riguardare almeno quanto segue:

a) le informazioni e le evidenze circa la conformità a tutti i requisiti della norma del sistema di gestione applicabile o di altro documento normativo;

b) il monitoraggio, la misurazione, la rendicontazione e il riesame delle prestazioni, con riferimento agli obiettivi ed ai traguardi fondamentali delle prestazioni stesse (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo);

c) il sistema di gestione del cliente e le prestazioni con riferimento al rispetto delle prescrizioni legali;

d) la tenuta sotto controllo dei processi del cliente;

e) gli audit interni e il riesame da parte della direzione;

f) la responsabilità della direzione per le politiche del cliente;

g) i collegamenti fra i requisiti normativi, la politica, gli obiettivi ed i traguardi delle prestazioni (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo), tutte le prescrizioni legali applicabili, le responsabilità, la competenza del personale, le attività, le procedure, i dati di prestazioni e le risultanze e le conclusioni degli audit interni.

Sottolineato che naturalmente tutti i punti della norma devono essere trattati in modo esaustivo, occorre rilevare che la verifica delle attività di monitoraggio e misurazione, i cosiddetti indicatori che dovrebbero permettere di tenere sotto controllo l’andamento dei processi, dovrebbero essere valutati con spirito critico, verificando se nella sostanza sono realisticamente calcolati e sono utili a monitorare i processi.

Riguardo alle prescrizioni legali gli auditor degli OdC spesso sono “deboli” nei confronti dell’impresa, nel senso che non vanno a fondo nel verificare il rispetto dei requisiti cogenti sul prodotto e non hanno sufficiente conoscenza degli stessi per capire se i processi sono conformi.

Infine anche la coerenza fra tutti gli aspetti elencati del sistema di gestione non può essere valutata soltanto spuntando un’arida check-list, ma occorre interrogare in modo intelligente il personale aziendale ed aver il coraggio di emettere osservazioni al riguardo se si rileva che, ad es. il SGQ, non è coerente con le attività dell’organizzazione e viaggia su un binario parallelo all’operatività aziendale.

Gli audit di sorveglianza sono audit sul campo, ma non sono necessariamente audit dell’intero sistema e devono essere pianificati unitamente alle altre attività di sorveglianza, in modo che l’organismo di certificazione possa continuare ad aver fiducia che il sistema di gestione certificato continui a rispettare i requisiti nel periodo intercorrente fra gli audit di rinnovo della certificazione. Il programma di audit di sorveglianza deve comprendere almeno:

a) audit interni e riesami da parte della direzione;

b) un riesame delle azioni intraprese a seguito delle non conformità identificate durante il precedente audit;

c) trattamento dei reclami;

d) efficacia del sistema di gestione nel conseguimento degli obiettivi del cliente certificato;

e) avanzamento delle attività pianificate, finalizzate al miglioramento continuo;

f) continua tenuta sotto controllo delle attività;

g) riesame di ogni modifica; e

h) utilizzo di marchi e/o di ogni altro riferimento alla certificazione.

Qui occorre enfatizzare il fatto che i sistemi (qualità, ambiente, sicurezza,…) morti o quasi non devono essere mantenuti certificati soltanto perché il cliente paga l’OdC, ma l’azienda certificata deve  essere sollecitata ad adempiere a tutte le prescrizioni, compresa la risoluzione delle anomalie segnalate nell’audit precedente. Solo la verifica in accompagnamento di ACCREDIA, scegliendo casualmente il cliente, può effettivamente valutare se l’OdC svolge correttamente il proprio compito.

Infatti la norma richiede che l’organismo di certificazione deve mantenere la certificazione basandosi sulla dimostrazione che il cliente continui a rispettare i requisiti della norma relativa al sistema di gestione.

Lo scopo dell’audit di rinnovo della certificazione è quello di confermare la conformità continua e l’efficacia del sistema di gestione nel suo complesso, nonché la continua pertinenza ed applicabilità al campo di applicazione della certificazione.

L’audit di rinnovo della certificazione deve prendere in considerazione le prestazioni del sistema di gestione nell’arco del periodo di certificazione e deve comprendere il riesame dei precedenti rapporti di audit di sorveglianza.

L’audit di rinnovo della certificazione deve comprendere un audit su campo che accerti quanto segue:

a) l’efficacia del sistema di gestione nella sua globalità, alla luce di modifiche interne ed esterne, e la sua continua pertinenza ed applicabilità al campo di applicazione della certificazione;

b) l’impegno dimostrato a mantenere l’efficacia ed il miglioramento del sistema di gestione al fine di rafforzare le prestazioni complessive;

c) se l’operatività del sistema di gestione certificato contribuisce al conseguimento della politica e degli obiettivi dell’organizzazione.

Può essere necessario che l’organismo di certificazione esegua audit senza preavviso a clienti certificati per indagare sui reclami, o in seguito a modifiche o come azione conseguente nei confronti di clienti cui è stata sospesa la certificazione. In tali casi:

a) l’organismo di certificazione deve descrivere e rendere noto in anticipo ai clienti le condizioni in base a cui sono eseguite queste visite senza preavviso;

Questi audit senza preavviso, se veramente attuati, potrebbero essere il punto forte di tutto il sistema di accreditamento delle certificazioni, ma bisogna vedere se lo si vorrà mettere in pratica.

Al punto 9.1.9.6.1 (Identificazione e registrazione delle risultanze dell’audit) si richiede che le risultanze dell’audit, che sintetizzano le conformità e forniscono dettagli circa le non conformità e il relativo supporto dell’evidenza dell’audit, debbano essere registrate e riportate per consentire una decisione informata circa la certificazione o del relativo mantenimento.

Questo significa maggiore precisione nella raccolta di evidenze nel corso dell’audit per attestare non solo gli aspetti negativi (non conformità, osservazioni), ma anche quelli positivi (evidenze che attestano la conformità dei processi).

Questa maggiore richiesta di informazioni da parte della norma e, quindi, dell’Organismo di accreditamento (ACCREDIA) nei confronti degli OdC non fa altro che caricare gli auditor di un ulteriore fardello: la documentazione delle evidenze raccolte per dimostrare la conformità o la non conformità delle attività e dei processi verificati alla norma di riferimento. Il rovescio della medaglia è che gli auditor perdono più tempo a raccogliere e scrivere evidenze (findings) che a svolgere un audit efficace. Anche perché il proprio ente di certificazione ed ACCREDIA gli chiederanno soprattutto prove per dimostrare di aver fatto il proprio lavoro correttamente.

Oggi molti OdC hanno abbandonato le check-list per punti della norma e registrano evidenze in formato libero all’interno di una struttura ben definita riconducibile ai capitoli della norma o a i processi aziendali. L’impiego delle nuove tecnologie è stato finora ridotto alla registrazione direttamente su PC portatile delle evidenze e, successivamente, del rapporto di audit. Alcuni auditor scrivono il rapporto direttamente nel portale web dell’Organismo, spesso impiegando molto tempo per lentezza della connessione o del sistema o imperizia.

A fronte dell’esigenza di documentare in modo più preciso e trasparente le prove dell’audit senza sovraccaricare di lavoro l’auditor – che spesso è un consulente esterno che potrebbe distogliere la propria attenzione dall’audit vero e proprio se viene valutato in base alla correttezza e completezza delle evidenze raccolte – occorre cambiare il sistema di gestione degli audit.

Oggi esistono tecnologie che permettono lo svolgimento dell’audit con il supporto di un tablet di ultima generazione per svolgere audit nei reparti produttivi e nei cantieri – in modo molto più efficiente rispetto a un notebook – e per registrare la verifica di un punto della check-lsit e le evidenze, attraverso software appositi, in modo molto più veloce. Tali sistemi (dispositivi portatili e relativo software) non solo consentono di raccogliere evidenze e redigere il rapporto di audit su PC in modo più efficiente, ma permettono anche di effettuare registrazioni multimediali e georeferenziate (registrazioni audio e video, foto e scansioni di documenti con posizione GPS ed orario esatto) che garantiscono l’Organismo di Certificazione e ACCREDIA che l’audit è stato effettivamente svolto, visionando documenti e processi reali, nei tempi e luoghi stabiliti.

Infine forniamo alcune considerazioni sulle appendici della norma.

L’Annex D indica – circa l’Audit report – che Il responsabile del gruppo di audit deve garantire che sia elaborato il rapporto di audit e deve essere responsabile del suo contenuto.

Riprendendo i contenuti di una presentazione ACCREDIA sulla norma ISO 17021 liberamente scaricabile dal sito dell’Ente, mi sento di condividere quanto segue.

Il lead auditor, consapevole delle responsabilità civili e delle sanzioni penali per dichiarazioni false e mandaci:

• Considera il campionamento svolto sufficiente a determinare le conclusioni del presente report inclusa la verifica di conformità degli aspetti legali secondo quanto previsto dallo schema di riferimento,
• Dichiara, sotto la sua completa responsabilità, di aver svolto la verifica secondo le procedure prestabilite inclusa la tempistica e le metodologie di controllo,
• Dichiara, anche a seguito delle informazioni raccolte durante la verifica, di non avere o essere a conoscenza di possibili conflitti di interesse secondo quanto previsto dalle procedureo dalle prassi di riferimento del settore.

Il responsabile aziendale firmatario del report di verifica dichiara, con specifico riferimento all’attività oggetto di verifica e al campo di applicazione della certificazione, dichiara

• di non essere a conoscenza di fatti, contenziosi o provvedimenti legali
• né di aver omesso o falsato informazioni
• né di essere a conoscenza di situazioni di conflitto di interesse tra il Gruppo di Verifica e la propria organizzazione tale per cui possa essere pregiudicata la validità del certificato o la conformità alle norme cogenti e volontarie applicabili, secondo quanto previsto dal regolamento sottoscritto in fase di domanda di certificazione.

Sulla responsabilità dell’auditor/lead auditor relativamente alle osservazioni formulate (e quelle non formulate) e sulle responsabilità dell’Organismo di Certificazione non si è ancora chiarito abbastanza su chi gravano le responsabilità – e le relative conseguenze in sede civile e penale – in caso di rilascio di certificazioni di sistema “non meritate”.

Alcuni OdC fanno sottoscrivere all’impresa certificanda una sorta di assunzione di responsabilità da parte della stessa in caso di mancato adempimento di prescrizioni cogenti tenute deliberatamente nascoste agli auditor ed all’Ente di Certificazione, ma molti ritengono che per l’affidabilità dell’intero sistema delle certificazioni ISO tale prassi non sia accettabile.

Il consulente aziendale, professionista di estrazione tecnica od economica, può avere diversi ruoli:

1. Può fornire servizi professionali finalizzati all’espletamento di adempimenti cogenti (sicurezza sul lavoro, privacy, tenuta della contabilità, certificazione di prodotto, ma anche di qualità ISO 9001 laddove è necessaria per accedere ad appalti pubblici) o facoltativi (certificazione sistema di gestione qualità, ambiente, sicurezza delle informazioni,…).
2. Può fornire servizi di temporary management oppure outsourcing di servizi che l’impresa non intende assumersi internamente per insufficienti competenze del personale interno, mancanza di tempo da dedicare all’attività e per non sostenere i costi interni necessari per creare e mantenere una risorsa adegatamente qualificata. I servizi in outsourcing possono riguardare la funzione di responsabile qualità o sicurezza (RSPP), il controllo di gestione o altro. Il servizio si caratterizza per un impegno del consulente limitato nel tempo, part-time (un certo numero di giorni a settimana o al mese) o di durata determinata (per un anno, due anni,…). Comprende l’assunzione di responsabilità ed il coordinamento di risorse come se si trattasse di manager interni all’azienda.
3. Può, infine, fornire servizi professionali che creano valore per i propri clienti: riorganizzazione aziendale, controllo di gestione, innovazione tecnologica, business process reengineering, ecc..

Mentre nel primo caso la concorrenza è essenzialmente sul prezzo (l’azienda cerca di pagare il meno possibile per espletare un adempimento che non vorrebbe), nel secondo caso è comunque prioritario il prezzo, ma anche la gestione del servizio ed i rapporti con il personale interno. Nel terzo caso, invece, il cliente è disposto a pagare un compenso equo per ottenere la creazione di valore per l’impresa, attraverso la maggiore produttività, l’incremento delle vendite o la riduzione dei costi, in altre parole aumentando l’efficienza dei processi.

Però, se nel primo caso l’azienda vorrebbe acquistare al prezzo più basso un servizio come si trattasse di un prodotto standard, il rischio correlato potrebbe essere molto alto. Infatti un adempimento svolto apparentemente nel modo corretto e nei tempi previsti (presentazione di un bilancio o di una dichiarazione dei redditi, tenuta della contabilità, predisposizione dei documenti obbligatori per la privacy o per la sicurezza sul lavoro) può nascondere molte insidie: se l’adempimento non è stato svolto in modo pienamente conforme alle norme ed alle leggi vigenti l’azienda rischia pesanti sanzioni, con la magra consolazione di potersi, eventualmente, rivalere sul consulente. Ma questo lo si scopre solo quando si subisce un controllo da parte degli enti competenti, visto che in azienda non esistono le competenze per controllare l’output del consulente.

Anche l’ottenimento della certificazione di qualità ISO 9001 (ma lo stesso vale per la certificazione di altri sistemi di gestione) può presentare rischi: ormai una certificazione non viene negata a nessuno, ma difficilmente l’auditor dell’organismo di certificazione dirò all’impresa che il suo sistema di gestione crea inefficienze ed appesantisce l’attività quotidiana senza fornire quel valore aggiunto che è nello spirito della norma sulla qualità. Certo, l’azienda ha risparmiato un costo esplicito scegliendo un consulente che costava meno di altri, ma ha poi dei costi occulti quotidiani che si protraggono nel tempo…finchè qualcuno non se ne accorge, solitamente il consulente che crea valore!