La certificazione ai sensi dell’art. 42 del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) è un processo che dimostra l’impegno di un’azienda a proteggere i dati personali gestiti (ad es. dei propri clienti e dipendenti), relativamente ad un processo, prodotto o servizio.

La certificazione GDPR non è obbligatoria, ma può essere un’ottima opportunità per le aziende che desiderano dimostrare il loro impegno verso la conformità alle normative sulla protezione dei dati personali e, quindi, aumentare la loro reputazione sul mercato, magari accedendo, in un prossimo futuro, a gare di appalto particolarmente significative.

Il processo di certificazione GDPR prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un organismo di certificazione accreditato. Questo Organismo esaminerà le procedure interne dell’azienda, le tecnologie utilizzate per proteggere i dati e la formazione del personale in materia di sicurezza dei dati. Se l’azienda supera la valutazione, verrà rilasciata una certificazione che dimostra che il prodotto, processo o servizio dell’organizzazione oggetto di certificazione è conforme ai requisiti del GDPR.

La certificazione GDPR non è permanente e deve essere rinnovata regolarmente ogni 3 anni. Questo significa che l’azienda deve continuare a monitorare e migliorare i propri sistemi e processi per garantire che rimangano conformi alle norme sulla protezione dei dati personali. Inoltre, le organizzazioni devono essere in grado di dimostrare la loro conformità in caso di controlli da parte dell’Autorità di Controllo per la protezione dei dati personali. Controlli nei confronti dei quali la certificazione non è esimente, ma può costituire un motivo per attenuare le eventuali sanzioni.

Gli standard che comprendono la protezione dei dati personali nel loro ambito di applicazione sono diversi, a partire dalla ISO 27001 sulla sicurezza delle informazioni che ha comunque un controllo specifico sulla privacy, il controllo A.18.1.4), la ISO 27701 che è un’estensione della ISO 27001 per le organizzazioni che vogliono certificare il loro sistema di gestione della privacy, la UNI PdR 43.2 ed altri. Ricordiamo però che la più completa ISO 27701 riguarda il sistema di gestione della sicurezza delle informazioni ed in particolare delle informazioni personali e pertanto è fuori dallo scopo del Regolamento UE 679 che prevede una certificazione di prodotto, processo o servizio ai sensi della ISO 17065 e non della ISO 17021 (accreditamento degli Organismi di certificazione sui sistemi di gestione). Anche la PdR 43 ha un difetto: si applica solo ai sistemi informatici, dunque l’organizzazione che la adotta non riuscirebbe a dimostrare la conformità dei trattamenti effettuati su supporto analogico/cartaceo.

Gli schemi attualmente approvati dall’European Data Protection Board (EDPB) sono CARPA (Schema del Lussemburgo), EUROPRISE (applicabile solo in Germania) ed EURROPRIVACY. Per motivi diversi solo quest’ultimo è applicabile in Italia, anche se risulta molto impegnativo ed orientato solo alle medio-grandi aziende.

In Italia, però, esiste uno schema di certificazione sul GDPR, che è in procinto di essere approvato dall’Autorità Garante per la Protezione dei Dati Personali e successivamente dall’EDPB. Si tratta dello schema ISDP©10003 di Inveo (scheme owner), accreditato da ACCREDIA, che è attualmente impiegato per la certificazione della protezione dei dati personali di prodotti, processi e servizi, anche se non ha ancora l’imprimatur ufficiale di certificazione ai sensi dell’art. 42.5 del Regolamento UE 679/2016.

Il processo di certificazione ISDP©10003 prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un Organismo di Certificazione accreditato. Il percorso di certificazione si articola in due passi successivi (come le altre certificazioni di sistema o prodotto): la verifica documentale e l’audit in campo. Non ci sono particolari differenze rispetto ad altri schemi di certificazione su iter di certificazione, classificazione dei rilievi e conferimento del certificato. Quello che differenzia sostanzialmente la certificazione ISDP©10003 – come le altre certificazioni sul GDPR – dalle certificazioni dei sistemi di gestione a cui molte organizzazioni sono abituate è il fatto che qui l’ambito di certificazione è un prodotto, processo o servizio di trattamento dati e, quindi, la normativa di riferimento per l’accreditamento è la ISO 17065, non la ISO 17021 come per le altre certificazioni di sistema.

L’organizzazione può, quindi, certificare un suo prodotto (ad es. un software), un processo di trattamento dati o un servizio erogato oppure una combinazione di essi.

Passando ad esaminare in dettaglio lo schema ISDP©10003 (scaricabile liberamente dal sito di INVEO) si notano comunque diverse analogie con altri schemi di certificazione. Infatti, la struttura dello standard è allineata alla struttura HLS dei sistemi di gestione (ISO 9001, ISO 14001, ISO 27001), ma comprende anche, nell’Appendice A, gli obiettivi di controllo da osservare, sulla falsariga della ISO 27001 sui sistemi di gestione per la sicurezza delle informazioni.

 I punti dello schema sono illustrati nel seguito:

INTRODUZIONE

Nella sezione introduttiva si illustra gli aspetti generali dello schema, la sua struttura (oltre ai requisiti generali si introduce l’Allegato A che rappresenta i criteri di controllo già menzionato e l’Allegato B che riporta la “tabella di corrispondenza” fra requisiti e controlli dello schema, con gli articoli e i considerando del GDPR, le linee guida dell’EDPB e dell’Autorità Garante Nazionale (GPDP).

Inoltre, si indica la ISO 19011 come normativa di riferimento per la conduzione degli audit, unitamente alla ISO 17065 e alle linee guida EDPB 4/2018 Allegato 1. Tale norma rappresenta, infatti, la linea guida per la conduzione di audit di sistemi di gestione, ma può essere tranquillamente applicata anche ad altri tipi di audit, come quelli su prodotti, processi e servizi.

Questa sezione richiama anche l’approccio per processi, comune a tutte le norme sui sistemi di gestione. Infatti, occorre vedere i trattamenti di dati personali (oggetto di certificazione) come processi, al fine di gestirli in modo più efficace ed efficiente, oltre che conforme ai dettami normativi.

Inoltre, in questa sezione vengono esplicitati gli “aspetti di conformità” che caratterizzano lo schema e la valutazione della conformità allo stesso, con riferimento alla sopra citata Linea Guida EDPB 4/2018, evidenziato anche attraverso una chiara tabella di corrispondenza.

Infine, viene dichiarata la compatibilità (denominata “interoperabilità”) con altre norme che condividono la struttura HLS.

SCOPO E CAMPO DI APPLICAZIONE

In questa sezione si definisce un ambito di applicazione generale e specifico dello standard che può essere applicato a prodotti, processi e servizi erogati dall’organizzazione in qualità di titolare o responsabile del trattamento. Nell’ambito di applicazione generale tutti i controlli dell’Allegato A devono essere applicati, nel caso, invece di ambito di applicazione specifico – a un prodotto, un processo o un servizio specifico – alcuni controlli potrebbero essere esclusi. Come in quasi tutte le altre norme certificabili il perimetro può essere personalizzato.

RIFERIMENTI NORMATIVI

La sezione riporta i riferimenti normativi ISO richiamati nel testo, oltre al GDPR, ma l’organizzazione certificanda dovrebbe acquisire conoscenze anche sulla normativa italiana (D.Lgs 196/2003 aggiornato al D.lgs 101/2018 oltre ai numerosi provvedimenti del GPDP), sulle Linee Guida EDPB e su altre normative e direttive UE eventualmente applicabili all’attività svolta.

TERMINI E DEFINIZIONI

Sono riportati numerosi termini e definizioni, alcune proprie del Regolamento UE 679, altre definite nell’ambito dello schema stesso. Sezione molto utile anche per coloro che, pur non mirando alla certificazione, vogliono costruire un modello organizzativo privacy utilizzando termini appropriati.

PRINCIPI E QUADRO DI RIFERIMENTO

In questa sezione sono illustrati e sviluppati i principi base del GDPR ed alcuni concetti chiave per la corretta comprensione dello schema e della normativa europea.

CONSAPEVOLEZZA E RESPONSABILIZZAZIONE

In questa sezione, come in altre norme ISO, si espongono requisiti come l’impegno della Direzione (persone fisiche che rappresentano il Titolare/Responsabile del Trattamento), la definizione di una politica per la protezione dei dati personali e la definizione di una struttura organizzativa che comprenda ruoli e responsabilità ben precise per la data protection.

OBIETTIVI E PIANIFICAZIONE DELLA GESTIONE DEL RISCHIO

L’obiettivo primario dell’applicazione dello schema ISDP©10003, come peraltro quello del GDPR, è il rispetto dei diritti e delle libertà dell’interessato nel trattamento di dati personali. In questa sezione si enfatizza il fatto che deve essere sempre analizzato il contesto del trattamento e nel quale opera l’organizzazione e che prima di intraprendere un nuovo trattamento deve essere condotta una valutazione dei rischi che preveda la determinazione del  rischio inerente e, a fronte dell’attuazione di ulteriori misure di sicurezza, il titolare/responsabile del trattamento dovrà calcolare il rischio residuo, da poter confrontare con il livello di rischio giudicato accettabile.

La politica del rischio dell’organizzazione deve poi comprendere tutte le fonti di rischio che possono compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, tipiche proprietà che caratterizzano la sicurezza dell’informazione, a cui lo schema aggiunge anche la qualità del dato. Questo concetto è molto caro allo standard ISDP©10003 che definisce la qualità del dato nelle sezioni precedenti, prevedendone anche la misurazione. Evidentemente si tratta di un concetto superiore all’integrità del dato, che presuppone la sua correttezza. Garantire la sicurezza in termini di integrità del dato significa che se un dato è memorizzato in un campo di un sistema informativo quel dato rimane sempre uguale se non viene modificato volontariamente. Garantire la qualità del dato, invece, significa garantire che quel dato sia sempre esatto ed aggiornato rispetto alla fonte che lo ha generato; ad esempio, che un indirizzo o un numero telefonico sia quello aggiornato alla data. Ciò presuppone un comportamento proattivo dell’organizzazione titolare o responsabile del trattamento finalizzato a preoccuparsi che tutti i dati raccolti siano corretti ed aggiornati. Naturalmente ciò si applica solo quando la qualità del dato risulta essere importante per i diritti e le libertà dell’interessato.

Nel processo di valutazione del rischio lo schema introduce, come sopra esposto, il c.d. rischio inerente (Ri), definito in una nota come il rischio relativo al trattamento prima delle eventuali mitigazioni (rischio lordo) (cons. 83 riga 2 Reg. UE 20161679). Letto anche il Considerando 83 verrebbe da chiedersi cos’è il “rischio inerente al trattamento”.

Una definizione corretta potrebbe essere la seguente: Il rischio inerente è il rischio attuale e potenziale cui il soggetto è esposto in ragione dell’attività concretamente svolta nel suo complesso. Quindi il rischio inerente va calcolato a prescindere dai controlli, presidi o misure di sicurezza applicate per mitigare il rischio. Dopo l’applicazione dei controlli e delle misure di mitigazione il rischio si attenua e diventa il rischio residuo.

Tra le varie metodologie di valutazione del rischio lo schema ISDP impone dei vincoli, quello di determinare il rischio inerente ed il rischio residuo attraverso un metodo (un algoritmo) oggettivo e ripetibile.

Come si calcola il rischio inerente? Anche ChatGPT potrebbe fornirci una risposta attendibile.

Il rischio inerente si calcola valutando la probabilità di una possibile violazione dei dati personali e il possibile impatto che questa violazione potrebbe avere sulle persone interessate.

Per calcolare il rischio inerente, si possono utilizzare diverse metodologie e framework, come ad esempio quello proposto dal NIST (National Institute of Standards and Technology), che prevede una valutazione basata su tre fattori principali:

1. Probabilità: la probabilità di una violazione dei dati personali in base alle minacce esistenti e alle vulnerabilità presenti nei sistemi e nei processi di trattamento dei dati.
2. Impatto: l’impatto che una violazione dei dati personali potrebbe avere sulle persone interessate, come la perdita di informazioni sensibili, la violazione della privacy o l’uso improprio dei dati personali.
3. Magnitudine del rischio: la gravità del rischio inerente, che dipende dalla combinazione della probabilità e dell’impatto.

La valutazione del rischio inerente può essere effettuata utilizzando un punteggio numerico o una scala di valutazione per ogni fattore, in modo da ottenere una valutazione complessiva del rischio.  Il calcolo può essere fatto moltiplicando i valori di Probabilità ed Impatto, introducendo un eventuale fattore correttivo di ponderazione.

Lo schema ISDP, inoltre, prevede un monitoraggio delle misure di sicurezza adottate a seguito della valutazione del rischio ed un monitoraggio dei risultati della valutazione del rischio stessa. Tale monitoraggio va effettuato anche attraverso audit interni ed audit sui Responsabili del trattamento.

SUPPORTO

In questa sezione lo standard stabilisce che il Titolare/Responsabile deve mettere in atto misure tecniche ed organizzative adeguate a garantire la sicurezza e l’esattezza dei dati personali e deve essere in grado di dimostrarlo.

Nel resto della sezione c’è di tutto un po’: definizione ed attuazione di policy per la protezione del dato personale, predisposizione di procedure documentate, adeguatezza delle risorse umane, formazione e consapevolezza del personale, vincoli di riservatezza, istituzione di audit interni e verso i responsabili del trattamento e così via.

Vengono poi anche stabiliti alcuni elementi per verificare l’adeguatezza dei processi interni, tra cui la verifica della minimizzazione dei dati trattati, dei rapporti fra contitolari, fra titolare e responsabile, ecc.

Nella medesima sezione vi è anche un punto specifico sulla nomina del Responsabile della Protezione Dati (DPO), necessario, peraltro, quando il GDPR stesso lo richiede.

Alla “Formazione” viene dedicato un punto specifico nel quale si enfatizza la necessità di attuare un processo di formazione pianificato e puntuale, del quale occorre dare evidenza attraverso opportune registrazioni dell’avvenuta formazione ed eventuali test di valutazione delle competenze se del caso.

Gran parte di questi compiti sono assegnati al RPD, che deve anche definire le competenze minime per il personale.

Il successivo punto “Documentazione” esplicita tutti i documenti (lo schema non cita il termine “informazioni documentate”) che è necessario predisporre per la certificazione, comprendente

1. Modello organizzativo privacy o documento equivalente: di fatto una sorta di Manuale di Gestione della Privacy, eventualmente costituito da una serie di documenti.
2. Registro dei trattamenti
3. Valutazione del rischio e relativa metodologia adottata
4. Procedure che regolano la raccolta ed il trattamento dei dati, l’esercizio dei diritti dell’interessato, la gestione dei data breach, la valutazione delle misure di sicurezza, la gestione della Privacy-by-Design e Privacy-by-default, gli audit interni, ecc.
5. Relazione annuale del DPO e Relazione dell’Amministratore di sistema.
6. Documentazione tecnica specifica del prodotto, processo o servizio oggetto di certificazione.

ATTIVITÀ OPERATIVE

Il titolare deve dimostrare la propria responsabilizzazione (accountability) nel conformarsi al GDPR attraverso scelte motivate ed adeguata documentazione del Modello Organizzativo Privacy (MOP) adottato.

La documentazione minima richiesta per dimostrare la conformità al regolamento UE 679 è costituita da:

• Mappatura dei trattamenti di dati personali (occorre scendere in un elevato livello di dettaglio, lo schema cita l’esempio dell’invio di allegati a messaggi di posta elettronica).
• Registro dei trattamenti
• Valutazione del rischio
• Valutazione di impatto (se necessario)

In questa sezione viene richiesta l’applicazione dei princìpi di Privacy by Design e Privacy by Default prima dell’avvio di nuovi prodotti e servizi (è implicito che rientrino nel campo di applicazione della certificazione) attraverso definizione di politiche, processi e misure di sicurezza.

Viene poi introdotto il requisito del “Controllo dei processi, prodotti e servizi forniti dall’esterno”, del tutto analogo all’omonimo requisito delle norme sui sistemi di gestione ISO 9001 e ISO 27001. Il fornitore deve essere sottoposto ad un processo di valutazione e qualifica, nel quale si dovrebbe tenere in considerazione la classificazione dei dati personali che dovranno essere trattati nella sua attività.

MONITORAGGIO

L’efficacia delle politiche e delle misure di sicurezza attuate deve essere valutata in primis attraverso audit interni ed esterni, per i quali vigono le stesse regole dei sistemi di gestione (programmazione in base all’importanza e alla criticità dei trattamenti, definizione dei criteri, registrazione dei risultati).

Nelle attività di monitoraggio occorre valutare la puntuale applicazione delle procedure, il Documento di mappatura dei trattamenti, il Registro dei trattamenti, il Documento aggiornato di valutazione dei rischi, il monitoraggio della Valutazione d’Impatto, Informazioni e statistiche puntuali o a campione di controllo sulla qualità ed esattezza dei dati contenuti negli archivi di dati personali, lo stato delle eventuali azioni correttive, l’analisi delle procedure relative ad informative e consenso, l’analisi del corretto rispetto dei diritti degli interessati e le modalità di campionamento interno dei trattamenti per il controllo.

Infine la sezione tratta le modalità di valutazione delle procedure dei responsabili (del trattamento) per la conduzione di audit di seconda parte (riscontro di garanzie sufficienti per assicurare la conformità dei processi di trattamento a loro affidati, misure di sicurezza tecniche ed organizzative adottate, ecc.).

MIGLIORAMENTO

Il titolare o il responsabile deve valutare continuamente le procedure di valutazione del rischio, mantenendo un registro dei rischi, al fine di identificare quei rischi che richiedono interventi migliorativi delle misure di sicurezza.

Il monitoraggio deve prevedere alcune azioni minime, tra cui flussi informativi costanti don il RPD (DPO) e la Direzione, la valutazione dell’efficacia delle azioni di trattamento dei rischi, il coinvolgimento del personale e così via.

Nel requisito “Rilievi e azioni correttive” è prescritta una procedura per registrare i rilievi che dovranno essere classificati (lo schema ISDP©10003 definisce non conformità/carenze, osservazioni e commenti) ed affrontati con azioni finalizzati ad eliminarne le cause, attraverso, se del caso, idonee azioni correttive che dovranno essere gestite come avviene negli altri sistemi di gestione (analisi delle cause, pianificazione dell’azione correttiva, attuazione, verifica di efficacia, secondo il classico ciclo PDCA).

L’unica cosa che si discosta da altre norme su sistemi di gestione (ISO 9001 in primis) è che le azioni correttive dovrebbero esistere solo per affrontare non conformità o problemi effettivamente verificatisi, mente ad es. un rilievo classificato come commento necessiterebbe di un’azione “preventiva” secondo quanto era definito nelle versioni precedenti della ISO 9001 (dal 2008 indietro) o nella specifica IATF 16949 per l’automotive.

OBIETTIVI DI CONTROLLO

L’appendice A dello schema ISDP©10003, in completa analogia con la norma ISO 27001, riporta un nutrito elenco di obiettivi di controllo e controllo che un’organizzazione certificanda dovrebbe adottare. Essi, organizzati in 7 macroprocessi, consentono di analizzare gli elementi forndamentali che caratterizzano i trattamenti di dati personali: caratteristiche dei dati personali, procedure e processi, sistemi tecnici e tecnologici (hardware e software) per il trattamento dati.

Dagli obiettivi di controllo discendono i controlli (oltre 130) che coprono tutti gli elementi del GDPR ed includono anche elementi di tipo organizzativo e gestionale, come l’istituzione di un Comitato Privacy e la conduzione di un riesame della direzione. Tali controlli possono essere tranquillamente trasformati in una check-list per verificare la conformità di un modello organizzativo privacy. Anzi una check-list in Excel con alcuni automatismi per determinare una valutazione ponderata dell’organizzazione auditata è reperibile sul sito INVEO previa registrazione (https://www.in-veo.com/privacy-tools-new/16-compliance-checklist-isdp-10003-2020) ed utilizzabile con qualche limitazione.

CONCLUSIONI

Sebbene lo schema presenti qualche ridondanza dovuta alla ripetizione di requisiti in punti diversi dello standard è sicuramente un modello completo al fine di perseguire la conformità al GDPR.

In conclusione, lo schema di certificazione ISDP©10003 è un ottimo strumento per le organizzazioni che desiderano dimostrare il loro impegno nella protezione dei dati personali e aumentare la loro reputazione sul mercato. La certificazione ISDP©10003 può aiutare le organizzazioni a identificare eventuali vulnerabilità nei loro sistemi e processi di protezione dei dati e a implementare misure per prevenirle, garantendo al tempo stesso la conformità alle normative internazionali sulla protezione dati.

L’ottenimento della certificazione sul GDPR costituisce comunque un obiettivo ambizioso, poiché sono ben poche le organizzazioni che dispongono di un sistema di gestione o modello organizzativo privacy pienamente conforme alle normative, tuttavia l’ISDP©10003 rappresenterà, una volta approvato come standard di certificazione sul GDPR, una strada più agevole – per costi e impatto – di altre per qualificarsi nel settore della protezione dati, anche per organizzazioni medio piccole. La stessa ISO 27701, pur non costituendo una certificazione specifica sul GDPR, non può prescindere da una certificazione ISO 27001, di per sé piuttosto impegnativa.

La possibilità di certificare soltanto un prodotto, processo o servizio e di restringerla alle attività svolte anche solo come Responsabile del Trattamento, apre le porte a soluzioni più snelle per qualificare determinate forniture di prodotti e/o servizi in certi ambiti (es. sanità). Al di là dell’obiettivo di perseguire ed ottenere una certificazione specifica sul GDPR, questo schema può fornire numerosi spunti per progettare e/o migliorare il proprio modello organizzativo privacy, indipendentemente dal fatto che la certificazione ISDP©10003 è orientata prodotti, processi e servizi, lo schema può essere tranquillamento adattato e preso a riferimento per il proprio “sistema di gestione privacy” volontario.

Dopo l’introduzione – da parte di ACCREDIA su indicazioni IAF (si veda il documento IAF ID03 “Management of Extraordinary Events or Circumstances Affecting  ABs”,  CABs  and  Certified  Organization e la circolare ACCREDIA DC 02/2020) – della modalità di effettuazione degli audit a distanza legati alla certificazione dei sistemi di gestione, il recente articolo L’AUDIT A DISTANZA. CONSIDERAZIONI GENERALI, MODALITÀ DI GESTIONE E SPUNTI  OPERATIVI pubblicato sul sito ACCREDIA, fornisce alcuni spunti di riflessione sulle modalità operative di gestione degli audit da remoto che gli Organismi di Certificazione (OdC) hanno iniziato a svolgere per mantenere il ritmo delle attività di sorveglianza e rinnovo delle certificazioni dei sistemi di gestione.

L’attività di auditing ha evidentemente un discreto impatto sui contatti interpersonali: interviste a varie persone, consultazione di documenti cartacei, visualizzazione di documenti digitali e siti internet, visione di reparti produttivi, ecc..

Per non bloccare per molto tempo queste attività, soprattutto in questa Fase 2 dell’emergenza Coronavirus nella quale quasi tutte le attività produttive sono riprese, anche se molte persone continuano giustamente a lavorare in smartworking, gli audit in campo sarebbero comunque difficili da condurre nel rispetto dei vari protocolli aziendali che prevedono misure molto rigide nei confronti dei fornitori che potrebbero avere accesso all’azienda, compresi i consulenti e gli auditor degli OdC. Sebbene le regole applicate siano molto disomogenee e i protocolli approvati dal Governo siano oggi esagerati se applicati a singole persone che accedono ai locali aziendali, quali auditor e consulenti, l’approccio degli OdC sembra sia fortemente orientato a svolgere comunque gli audit pianificati con le modalità “a distanza”, come previsto da ACCREDIA.

L’articolo sopra menzionato – sebbene non costituisca una regola da seguire da parte degli OdC – fornisce molti interessanti spunti di riflessione per comprendere se svolgere gli audit a distanza, quando svolgerli e come svolgerli.

Questa opportunità, commercialmente molto favorevole per gli OdC che altrimenti si vedrebbero bloccate le attività ed i conseguenti ricavi per diverso tempo, dovrebbe essere sfruttata cum grano salis, effettuando preliminarmente una valutazione dei rischi basata su diversi elementi, che comprendono la tipologia dell’organizzazione auditata, il tipo di verifica, la norma di riferimento, la complessità dell’organizzazione e del suo sistema di gestione, ecc.

Il rischio che si corre nell’attuare questa nuova modalità è quello di non svolgere un audit efficace, ovvero di effettuare delle valutazioni non sufficientemente esaustive e corrette, ovviamente a tutto “vantaggio” dell’organizzazione auditata che si vedrebbe così ad essere certificata, ovvero a continuare ad esserlo, con una certa facilità.

L’analogia con la Didattica a Distanza (DAD) è pienamente calzante: come la verifica delle competenze degli alunni deve cambiare modalità per garantire un giusto livello di severità della scuola, così devono cambiare le modalità di raccolta e valutazione delle evidenze dell’audit.

Il rischio vero, però, è quello di sminuire ulteriormente un settore (quello delle certificazioni del sistema di gestione) che già ha perso molta credibilità a causa di audit troppo soft.

Certe tecniche estremamente efficaci utilizzate negli audit degli anni novanta, e non sempre riprese nel corso degli anni 2000, potrebbero non essere applicabili negli audit a distanza. Ad esempio prendere un DDT a caso di un prodotto in fase di spedizione e ripercorrere tutta la vita del prodotto “all’indietro”, ovvero richiedere evidenza dei controlli di produzione, dei controlli sulla materia prima, dei controlli sulle lavorazioni esterne, della qualifica dei relativi fornitori, degli ordini/contratti con i fornitori, della gestione dell’ordine del cliente (e relativi termini di consegna), dell’offerta e magari anche della progettazione del prodotto, se applicabile. Oppure scegliere a caso una commessa, un ordine o un prodotto e poi verificare tutti gli annessi e connessi.

Anzitutto bisognerebbe stabilire con precisione modalità e mezzi di conduzione di un audit a distanza. Ad esempio, quale piattaforma collaborativa utilizzare: quella stabilita dall’OdC o quella utilizzata dal cliente/organizzazione. La scelta non può essere dettata dal caso o dall’auditor di turno, spesso un consulente esterno, che magari sceglie a sua discrezione una piattaforma che conosce meglio. Infatti, nel corso dell’audit possono transitare anche informazioni di una certa riservatezza e l’impiego di una piattaforma che garantisca adeguate misure di sicurezza e rispetto per la privacy dei dati personali usata in modo corretto è sicuramente un requisito necessario. Recentemente si sono verificate violazioni di dati su piattaforme molto diffuse e, inoltre, la conservazione dei dati in cloud ubicati fuori UE non garantisce sempre il rispetto del Regolamento UE 679/2016 (GDPR).

Dato che l’audit è svolto sotto la responsabilità dell’OdC è il medesimo a dover assicurare la sicurezza dei dati che vengono trasmessi dall’organizzazione, la quale potrebbe avere qualcosa da obiettare nel fornire direttamente su file alcune informazioni riservate: un conto è far visionare un’offerta commerciale ad un auditor che viene presso la mia sede e che neanche volendo riuscirebbe a ricordarsi i dettagli una volta uscito dall’azienda, un conto è fornire direttamente all’auditor il file completo dell’offerta con prezzi, codici di articoli, modalità di fornitura, ecc. Se anche solo per superficialità o per inadeguatezza delle misure di sicurezza del notebook dell’auditor la stessa offerta finisse nelle mani di un concorrente quali sarebbero le conseguenze? Normalmente gli auditor esterni all’Ente di Certificazione utilizzano propri notebook, non controllati dall’OdC stesso, che vengono portati in viaggio e possono essere smarriti o rubati…. dovrebbero avere tutti gli hard disk cifrati.

Probabilmente sarebbe opportuno che certi documenti contenenti informazioni più riservate (o comunque classificati) non siano trasmessi dall’organizzazione auditata all’auditor via e-mail o condivisi attraverso la piattaforma di comunicazione, ma semplicemente visualizzati condividendo uno schermo, come tutti i software di videoconferenza consentono, da Microsoft Teams a Google Meet, da Skyoe a GoToMeeting, a Webex, ecc.

Alcune informazioni raccolte dall’auditor sono contenute in documenti digitali (es. verbali di riesame della direzione, rapporti di audit interni, procedure, ecc.) altri sono invece reperibili da un sistema informatico, dunque si può tranquillamente prevedere la condivisione dello schermo da parte di un responsabile dell’organizzazione che apre un sistema gestionale e mostra – esattamente come farebbe durante un audit in presenza – gli ordini del cliente, gli ordini di produzione, la pianificazione della produzione, i controlli eseguiti, ecc.. In questo modo l’auditor può mantenere il controllo dell’audit e farsi mostrare l’elenco di tutti gli ordini o commesse e scegliere autonomamente quella/a da visionare. In molte realtà aziendali il sistema gestionale produce offerte, conferme d’ordine del cliente, ordini di acquisto, ordini di produzione ed altro già in formato pdf pronto da essere stampato per i reparti interni o per essere trasmesso via e-mail al cliente o al fornitore, dunque trasmettere o semplicemente visualizzare nella video-riunione (per i motivi di riservatezza di cui sopra) questi documenti all’auditor dovrebbe essere molto semplice.

Le classiche riunioni di apertura e chiusura e le interviste a responsabili normalmente svolte negli uffici possono essere tranquillamente condotte in conference call con il supporto della condivisione dello schermo per visionare documenti in formato digitale oppure documenti cartacei opportunamente scansionati al momento, ma come svolgere le verifiche nei reparti produttivi?

La valenza di un audit in un’azienda manifatturiera è fortemente in dubbio: l’audit della produzione è praticamente obbligatorio in tutte le aziende produttive e potrebbe essere condotto efficacemente solo in certe realtà, connettendosi a terminali dell’ufficio produzione e controllo qualità, ma anche attraverso smartphone connessi con la videocamera accesa per poter visionare i reparti produttivi, intervistare operatori in produzione, raccogliere evidenze di strumenti utilizzati, macchine di produzione, materiale immagazzinato e così via. È evidente che l’azienda potrebbe “guidare” l’audit un po’ più del solito rispetto all’audit in presenza.

Uno degli elementi che ACCREDIA invita a considerare nella valutazione del rischio sulla conduzione dell’audit è costituito dalla conoscenza dell’organizzazione da parte dell’auditor: naturalmente un auditor che ha visitato già l’azienda due o tre volte è in grado di valutare anche da remoto cosa è opportuno visionare e cosa no. Nelle indicazioni di ACCREDIA si invita gli OdC a visionare anche i layout/planimetrie degli stabilimenti dell’organizzazione per decidere quali reparti sarebbe opportuno visionare, se sono stati visionati in passato e così via.

Il documento IAF MD4:2018 (IAF MANDATORY DOCUMENT FOR THE USE OF INFORMATION AND COMMUNICATION TECHNOLOGY FOR AUDITING/ASSESSMENT PURPOSES) costituisce la guida per gli OdC per la conduzione degli audit da remoto, così come la circolare ACCREDIA e il documento IAF ID03, ma poiché permangono molti dubbi sull’applicabilità di questa modalità in diversi contesti sono state pubblicate anche delle FAQ sul sito IAF (https://iaffaq.com/).

Certamente permangono alcune perplessità sull’applicazione degli audit a distanza nella verifica di sistemi di gestione ISO 14001, ISO 27001 e altri, piuttosto che di sistemi ISO 9001. Oltre che all’applicabilità ad aziende di produzione, imprese di costruzione, installatori e manutentori di impianti, società di ingegneria con direzioni lavori.

Infine, resta da valutare la competenza dell’auditor nel gestire le tecnologie utilizzate per la conduzione dell’audit a distanza ed eventualmente a colmarle.

Sicuramente l’audit a distanza o da remoto è una grossa opportunità per mantenere la continuità operativa degli Organismi di Certificazione e di tutto il mondo delle certificazioni e dell’accreditamento (anche ACCREDIA ha attuato gli audit da remoto), contenendo anche i costi di spostamento degli auditor, ma è importante mantenere alta l’attenzione affinché questa metodologia non riduca l’audit di certificazione ad una mera formalità, minacciando l’attendibilità di tutto il sistema delle certificazioni.

Soprattutto in questo periodo è estremamente attuale essere
in grado di pianificare la continuità operativa delle imprese, almeno per
quanto possibile.

Anche le aziende più preparate a gestire la business
continuity, forse, non hanno previsto una pandemia come quella del Covid-19,
o forse si erano prefigurati scenari diversi, nei quali le persone non sono in
grado di andare al lavoro a causa di epidemie di influenza o altre cause. In
questa fase che stiamo attraversando l’assenza di personale non è dovuta –
nella maggior parte dei casi – allo stato di malattia delle persone, ma alla
necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per
certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone
sono quasi tutte operative ed in grado di lavorare, ma non possono accedere
ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata,
affrontare situazioni di emergenza come questa che stiamo attraversando? O
meglio, come potrà pensare di affrontarle in futuro se si verificheranno?

Ci viene in soccorso lo standard UNI EN ISO 22301 (Sicurezza e resilienza – Sistemi di gestione
per la continuità operativa – Requisiti titolo originale “Security
and resilience – Business continuity management systems – Requirements”),
recentemente revisionato (edizione 2019) e tradotto in italiano dall’UNI e
pubblicati a febbraio 2020.

Come già visto in un precedente articolo sulla vecchia versione della norma (pubblicata dall’ISO nel 2012) , lo standard specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Le modifiche alla norma non hanno aggiunto nuovi
requisiti, ma solamente chiarito quelli già presenti, allineato la
norma alle altre norme sui sistemi di gestione e riorganizzato il capitolo 8,
vero cuore dello standard.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS)
enfatizza l’importanza di:

• comprendere le esigenze dell’organizzazione e le necessità per
  stabilire la politica e gli obiettivi per la continuità operativa;
• gestire e mantenere processi, capacità e
  strutture di risposta per garantire che l’organizzazione sopravviva a
  interruzioni;

• implementare e rendere operativi controlli e misure per gestire la
  capacità di un’intera organizzazione nella gestione delle interruzioni (discontinuità)
  dell’operatività dovute a cause accidentali;
• monitorare e riesaminare le
  prestazioni e l’efficacia del sistema di gestione della continuità
  operativa;
• migliorare in modo continuo
  il BCMS basato su metriche qualitative e quantitative (obiettivi misurabili).

Si ricorda che anche la norma ISO/IEC 27031 “Information technology — Security techniques
— Guidelines for information and communication technology readiness for
business continuity” tratta la business continuity, ma nel contesto dell’ICT
e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che
contiene i requisiti per la
certificazione dei sistemi di gestione della sicurezza delle informazioni.

La ISO 22301 evidenzia i componenti chiave del sistema di
gestione della continuità operativa, peraltro presenti anche in altri sistemi
di gestione. Tra essi la politica,
le persone con le loro responsabilità definite, la gestione dei processi correlati a
politica, pianificazione, attuazione e funzionamento del BCMS, valutazione
delle prestazioni, riesame di
direzione e miglioramento,
nonché le informazioni documentate in grado di fornire evidenze
verificabili anche tramite audit sul
sistema di gestione della continuità operativa.

Il vantaggio di disporre di un BCMS correttamente
funzionante è quello di far sì che l’organizzazione sia preparata – attraverso
processi, procedure, responsabilità, risorse, controlli, competenze, ecc. – a
mantenere l’operatività a seguito di un’interruzione, ovvero di un evento
destabilizzante (in inglese viene utilizzato il termine “disruption”) che
mina i processi operativi critici.

Anche questa norma recepisce il metodo del “PLAN DO CHECK ACT” già noto da altre
norme dei sistemi di gestione.

Per questa norma il concetto di “parti interessate” o stakeholders è molto importante in
quanto una discontinuità (interruzione) nell’operatività dell’organizzazione,
una indisponibilità dei servizi essenziali per i clienti, un fermo delle
attività produttive per un periodo più o meno lungo, possono causare danni, sia
dal punto di vista commerciale, sia da quello finanziario, ma anche da quello
delle altre parti interessate, quali personale interno, individui della
collettività che subiscono danni anche fisici, fornitori, ecc..

Scopo della norma per la gestione della business continuity
è quello di specificare i requisiti atti proteggere l’organizzazione da interruzioni
quando accadono, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la
probabilità che tali eventi negativi avvengano, prepararsi ad essi e rispondere
in modo adeguato a ripristinare l’operatività nel più breve tempo possibile
qualora si verifichi un evento che provoca l’interruzione dell’operatività.
Naturalmente non si può pensare che un’azienda metta in atto azioni volte a
prevenire calamità naturali o pandemie, ma – facendo un esempio estremamente
attuale – una volta che sia stata conclamata un’epidemia su larga scala,
potrebbe porre in essere misure volte a prevenire il contagio fra i dipendenti e,
quindi, volte ad evitare che si verifichi un’interruzione totale dell’operatività
aziendale causata da un contagio interno molto diffuso. Questo, naturalmente,
al di là delle decisioni e delle disposizioni governative che hanno limitato l’operatività
di molte attività, ma non di tutte. Addirittura alcune aziende dovevano porsi l’interrogativo
se chiudere anticipatamente in base alla probabilità di contagio nella propria
zona fra personale dipendente.

La norma ISO 22301 definisce alcuni termini specifici sulla
materia tra cui il termine di continuità operativa (business continuity),
piano di continuità operativa (business continuity plan), analisi di
impatto operativo (business impact
analysis o BIA).

Oltre ad altri termini consueti delle norme della serie ISO
9000, altro termine significativo mutuato dalle norme della serie ISO 27000 è
quello di incidente che è definito
come “evento che può o potrebbe condurre ad un’interruzione, a una perdita,
a un’emergenza o a una crisi” Al proposito la norma utilizza spesso il
termine interruzione che
rappresenta “un incidente che causa una deviazione negativa, non pianificata
dell’erogazione prevista dei prodotti e servizi secondo gli obiettivi di un’organizzazione”;
modificando significativamente la definizione della precedente versione della
norma, forse più concreta e facilmente comprensibile ai più.

Verranno successivamente introdotti dalla norma degli
indicatori specifici per questa tematica come:

• Maximum
  Tolerable Period of Disruption (MTPD) ovvero
  il tempo massimo accetabile che può trascorrere a fronte degli impatti
  negativi conseguenti ad una interruzione come risultato della mancata
  fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività
  operativa.
• Recovery Time Objective (RTO):
  periodo di tempo entro il quale – dopo l’interruzione – i servizi erogati,
  la produzione, i servizi di supporto e le funzionalità operative devono
  essere ripristinati ad un livello minimo accettabile.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” contiene
gli elementi per comprendere il contesto dell’organizzazione, tra cui i fattori
interni ed esterni che influenzano la sua capacità di conseguire i risultati
del BCMS. La norma stabilisce che nell’ambito del Sistema di gestione per la
continuità operativa debbano essere identificati i requisiti dell’organizzazione e delle sue parti interessate, che
dovranno essere tenuti in debito conto nella progettazione del sistema di
gestione dell’organizzazione

Tra i requisiti da prendere in considerazione viene dedicato
un punto specifico ai requisiti legali e regolamentari, ovvero quei
requisiti cogenti che determineranno gli obiettivi di minima del BCMS e dei
piani di continuità operativa. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione
di continuità operativa. A tale riguardo la norma stabilisce le modalità
attraverso le quali l’organizzazione deve stabilire i confini del BCMS e quali
processi, prodotti e servizi sono compresi nel sistema di gestione e quali
parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali
esclusioni che, comunque, non possono influenzare negativamente i risultati del
sistema di gestione ed i livelli di operatività stabiliti nell’analisi di
impatto.

Al punto 4.4 la norma stabilisce che l’organizzazione deve
implementare, mantenere attivo e migliorare continuamente un sistema di
gestione della continuità operativa, inclusi i processi necessari e le relative
interazioni fra essi, in accordo con i requisiti di questo standard
internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma
stabilisce che l’alta direzione (ovvero il top
management) deve possedere leadership e dimostrare un impegno preciso
rispetto al sistema di gestione per la continuità operativa. L’impegno del management
viene poi esplicitato attraverso una serie di responsabilità della direzione
relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi
siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi
sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai
requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della
politica per la continuità operativa
e la definizione della struttura
organizzativa dell’organizzazione, quindi la definizione di ruoli
responsabilità ed autorità.

Il capitolo 6, denominato “Pianificazione” stabilisce che:

• L’organizzazione deve attuare
  azioni rivolte ad affrontare i
  rischi ed alle opportunità, in particolare assicurando che il sistema riesca
  a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre
  gli effetti indesiderati sul BCMS e mirare al miglioramento continuo.
• Vengano definiti obiettivi per la business continuity e soluzioni/piani per raggiungerli;
  tale aspetto, con le dovute modifiche, è del tutto analogo ad altri
  sistemi di gestione: gli obiettivi devono essere misurabili, devono essere
  monitorati, occorre stabilire chi è responsabile, che cosa deve fare,
  quali risorse sono richieste, quando dovranno essere completate le azioni
  finalizzate al perseguimento degli obiettivi e come dovranno essere
  valutati i risultati. Unica differenza rispetto ad altri sistemi di
  gestione è che nella definizione degli obiettivi bisognerà tenere conto di
  un livello minimo di servizio o di prodotto fornito ritenuto accettabile
  dall’organizzazione nel raggiungimento dei suoi obiettivi.

Viene anche chiarito, in una nota, che i rischi di questa
sezione sono quelli che influenzano l’intero BCMS, non i rischi che minacciano
la continuità operativa, trattati al successivo punto 8.2.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per
alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale
relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che
esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed
i mezzi di comunicazione sono molto importanti per garantire la continuità del
servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine, l’ultima parte di questo capitolo è dedicato alle informazioni documentate, i cui
requisiti relativi riguardano le modalità di gestione di documenti, dei dati e
delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito
della business continuity, i
documenti – in particolare i piani, le procedure e le istruzioni operative –
necessarie per ripristinare nel più breve tempo possibile i servizi richiesti
durante i periodi di crisi successivi ad un’interruzione, dovrebbero essere
accessibili dai responsabili nominati, dunque occorre prevedere supporti
alternativi per i documenti che potrebbero non essere disponibili nel formato
originario, su supporto elettronico o cartaceo. Pertanto, tali documenti
dovrebbero essere resi disponibili su supporti ed ubicazioni realmente
utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma, denominato “Attività operative”, è quello che è
stato maggiormente modificato rispetto alla versione precedente della norma e rappresenta
il cuore della ISO 22301 in quanto tratta gli aspetti di pianificazione e controlli
operativi, l’analisi di impatto e la valutazione dei rischi e, infine, la strategia di business continuity e le
relative soluzioni adottate, ovvero tutto ciò che l’organizzazione intende fare
per garantire la continuità operativa, compresa la definizione dei business
continuity plan o piani di continuità operativa, la loro applicazione e
test/esercizio.

Nei suddetti paragrafi sella sezione 8 vengono specificate,
tra l’altro, le modalità di effettuazione e documentazione della analisi di impatto operativo e della valutazione del dei rischi, per la quale può essere preso come
riferimento quanto indicato nella ISO 31000 (UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre
precisare che sia l’analisi di impatto sia la valutazione dei rischi dovranno
prendere in considerazione i rischi che possono impattare la continuità
operativa, quindi i rischi che si verifichino incidenti distruttivi che portino
a situazioni di crisi o di interruzione dell’operatività e, conseguentemente, a
situazioni insostenibili per i requisiti stabiliti di continuità operativa e
per la propensione al rischio dell’organizzazione. A fronte di tali situazioni,
in base ai risultati della valutazione dei rischi, dovranno essere determinate
e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Le soluzioni per garantire la continuità operativa
devono essere finalizzate a:

• rispettare i requisiti di continuità e di
  recupero delle attività prioritarie entro le tempistiche prestabilite e
  capacità concordate;
• proteggere le attività prioritarie dell’organizzazione;
• ridurre le probabilità di un’interruzione;
• accorciare la durata di un’interruzione entro
  limiti tollerabili;
• limitare l’impatto di un’interruzione sui
  prodotti e servizi dell’organizzazione;
• provvedere alla disponibilità di risorse
  adeguate a poter affrontare le situazioni di crisi.

Le soluzioni identificate devono essere scelte in base ai
requisiti da soddisfare, i rischi ritenuti accettabili, i costi ed i benefici. Per
attuarle dovranno essere stabiliti i requisiti e le necessità di risorse umane,
tecnologiche, infrastrutturali, ecc.

Il punto 8.4 della norma fornisce indicazioni su come progettare
i piani di continuità operativa e le procedure da mettere in atto per
garantire la continuità operativa dell’organizzazione a fronte di un’interruzione.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono
qui illustrati i requisiti relativi al monitoraggio,
alle misurazioni, all’analisi ed
alla valutazione dei processi che
hanno un impatto sulla continuità operativa; in particolare vengono esplicitati
i requisiti relativi ad indicatori e
metriche finalizzate al monitoraggio
dell’efficacia del BCMS.

Nel capitolo 9 vengono anche trattati i requisiti
standard per i sistemi di gestione riguardanti gli audit interni ed il riesame di
direzione. Anche qui, rispetto alle altre normative sui sistemi di gestione,
il focus è sui rischi risultanti dall’analisi di impatto e sul risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento
continuo. Relativamente a non conformità ed azioni correttive la gestione è
analoga ai sistemi gestionali descritti nelle altre normative sui sistemi di
gestione (ISO 9001 in primis). Sono inoltre introdotte le azioni che vengono
messe in atto al fine di perseguire il miglioramento continuo del sistema e
delle sue prestazioni.

Premesso ciò, le non conformità relative al sistema di
gestione della continuità operative – normalmente incidenti ed altri eventi che hanno generato interruzioni oltre
ad altre situazioni nelle quali si verifica il non soddisfacimento dei
requisiti procedurali – dovranno essere identificate e dovranno essere attuate
prontamente correzioni per eliminare, quando possibile, gli effetti della non
conformità stessa e le relative conseguenze. Inoltre, si deve valutare la
necessità di intraprendere azioni correttive finalizzate ad eliminare le cause
della non conformità.

In conclusione, le organizzazioni che vorranno adeguarsi a tale
normativa e certificarsi secondo le proprie esigenze di business, quasi
certamente avranno già messo in atto e certificato un sistema di gestione per
la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno
anche già implementato il sistema di
gestione della sicurezza delle informazioni ISO 27001, pertanto lo sforzo
per conformarsi a questa norma sulla business
continuity non sarà eccessivo. Infatti, molti requisiti sono comuni fra la
norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di
controllo riguardante la continuità operativa che impone di predisporre uno o
più business
continuity plan per garantire la continuità nell’erogazione del
servizio o nella produzione, ma a fronte di interruzioni dovute a
indisponibilità di informazioni.

Al proposito occorre notare che la norma tratta la gestione
di tutti i tipi di discontinuità o interruzioni di servizio, non
necessariamente solo quelli legati all’indisponibilità dei sistemi informatici,
anche se quasi tutte le organizzazioni vedono come principale pericolo per la
propria continuità operativa il blocco dei sistemi informatici che ormai
governano quasi tutte le attività aziendali.

Gli esempi di situazioni nelle quali la continuità operativa
non è minacciata da interruzioni e disastri legati ai sistemi informatici sono
sotto i nostri occhi in questo periodo.

La nuova norma ISO 9001:2015 ripropone al punto 9.2, praticamente senza modifiche significative rispetto alla precedente edizione della norma, il requisito relativo all’Audit interno. La ISO 9001:2015 probabilmente pone maggiore enfasi sulla necessità di intraprendere tempestivamente le azioni finalizzate al trattamento dei rilievi (correzioni, azioni correttive o quant’altro) e certamente recepisce l’approccio basato sui rischi (Risk Based Thinking), per il quale la pianificazione e la conduzione degli audit interni dovrà riflettere la necessità di monitorare più frequentemente e più approfonditamente i processi maggiormente a rischio per il perseguimento degli obiettivi aziendali. Però in questo articolo l’aspetto che vorrei sottolineare è un altro: qual è il valore aggiunto di un “vero” audit interno?

La domanda, forse un po’ provocatoria, vuole evidenziare il fatto che gli audit interni “finti” servono a poco, se non a coprire il punto della norma in occasione degli audit dell’ente di certificazione e nulla più.

Ormai lo hanno capito anche gli auditor degli Organismi di Certificazione: numerose aziende – che vivono male il loro sistema qualità – poco prima della visita di sorveglianza o rinnovo della certificazione si ritrovano ad adempiere a questo requisito di norma e per varie ragioni (risparmiare tempo e costi, incompetenza, indisponibilità del personale da auditare, urgenza di sbrigare la pratica…) preferiscono registrare audit interni fasulli – ovvero non svolti realmente – piuttosto che effettuare una vera verifica sulla corretta attuazione dei processi aziendali.

Tale pratica, molto diffusa anche da parte di consulenti compiacenti, spesso non sfugge ad un attento auditor dell’Organismo di Certificazione, che però non può o non vuole infierire sull’azienda, spesso anche per mancanza di evidenze oggettive che possano comprovare la falsità dei rapporti di audit.

In realtà predisporre un rapporto di audit interno fittizio, magari con tanto di check-list compilate, è tempo perso, anche se molti responsabili qualità credono di aver risparmiato tempo (e rogne) rispetto a condurre un vero audit.

Il vero audit, infatti, permette di capire cosa effettivamente viene svolto secondo le regole (procedure, specifiche del cliente, norme, ecc.) e cosa no, se i processi sono condotti in modo efficace e, soprattutto, efficiente, se il personale opera secondo i compiti assegnati e così via.

Certamente non svolgere gli audit e far risultare che tutto va bene talvolta permette al responsabile qualità o altro auditor incaricato, di evitare conflitti interni con i responsabili dei vari reparti(che così potranno continuare a fare quello che pare a loro) o con soggetti troppo permalosi se qualcuno osa sindacare il loro operato. Ma tutto ciò giova realmente all’azienda?

La Direzione, o meglio l’alta Direzione della norma ISO 9001, preferisce vedere dei rapporti di audit fasulli che sono dei “percorsi netti” pur di liberarsi di torno questo adempimento oppure preferisce sapere quali sono i reali problemi dell’azienda?

Un audit ben fatto, condotto da personale competente e imparziale (ovvero non solo indipendente dai responsabili dei processi verificati, ma anche in grado di giudicare in modo imparziale quello che rileva, senza farsi condizionare da chi ha di fronte) porta del grande valore aggiunto all’azienda, perché permette di capire quali sono i problemi attuali dell’organizzazione e quali potrebbero essere quelli futuri; ad esempio rilevare, durante un audit, che non viene controllato il prodotto acquistato, non registrandone nemmeno le informazioni che ne garantiscono la rintracciabilità, potrebbe portare guai all’azienda in caso di richiesta di risarcimento danni da parte del cliente per prodotto difettoso provocato dal prodotto/servizio acquistato presso il fornitore, impedendo anche di potersi rivalere sul fornitore che ha causato la non conformità. Il vero audit, dunque, tutela l’azienda e permette di fronteggiare possibili rischi di vario genere e natura.

Un audit reale può fornire anche molti spunti di miglioramento, se non altro per il fatto di esaminare i processi insieme al personale operativo che avrebbe l’opportunità di evidenziare possibili migliorie.

Un vero audit permette di rilevare delle anomalie, dei problemi, che poi dovranno essere risolti, affrontandoli in tempi ragionevoli. L’audit finto non rileva i problemi, ma questo non vuol dire che non ci sono!

Un vero audit ha bisogno di molto più tempo da parte dell’auditor e del personale intervistato, ma fornisce valore aggiunto, il finto audit non serve all’azienda, ma solo ad evitare rilievi in fase di verifica di certificazione/sorveglianza o rinnovo.

Spesso il finto audit è figlio di procedure finte: che cosa faccio a fare gli audit se dovrei verificare la conformità a procedure che non segue nessuno perché non rappresentano la realtà aziendale? A volte questo è un altro problema: il sistema di gestione per la qualità non è aderente alla realtà aziendale, dunque così com’è non serve a nulla.

Il vero audit va anche ad investigare sull’efficienza dei processi e sui relativi indicatori. Questi ultimi spesso sono deficitari (carenti o addirittura fasulli) per monitorare i processi e dovrebbero essere messi in discussione dal bravo auditor. Ma anche quello degli indicatori poco pertinenti, imprecisi e non sistematicamente misurati è un altro problema di molti sistemi qualità.

Tutto questo, però, deve essere capito dalla Direzione, da chi governa l’azienda, dalla proprietà e forse alcuni non lo capiranno mai, ma se tutti coloro che lavorano in questo ambito operassero con l’obiettivo di far risaltare i vantaggi di possedere un vero sistema qualità, forse alcune aziende si farebbero un esame di coscienza e ripenserebbero al loro sistema qualità sotto un’ottica differente. Anche questo sarebbe un valore aggiunto di un vero audit interno.

 

L’adeguamento delle aziende alla norma UNI EN ISO 9001:2015 prosegue a rilento con il solito approccio italiano “qual è la scadenza? Settembre 2018? Bene, cominciamo a pensarci a Giugno 2018 perché poi ci sono le ferie!”

Forse senza sapere che ben difficilmente si riuscirà a migrare in tempo utile, senza perdere la certificazione almeno per qualche mese; se non altro perché gli Organismi di Certificazione non avranno modo di gestire un’elevata mole di adeguamenti negli ultimi mesi del periodo di transizione. Oltre al fatto che se l’adeguamento non viene effettuato in occasione di un rinnovo o di una sorveglianza si spenderà di più.

Ma quali sono i requisiti aggiuntivi per le aziende italiane che vogliono recepire questa normativa? Sia in fase di transizione dalla vecchia norma ISO 9001:2008, sia come nuova certificazione di qualità?

Quali sono i contenuti dell’Appendice C della UNI EN ISO 9001:2015 (versione italiana) che dovrebbero aiutare le imprese del nostro Paese a recepire nel modo corretto questa norma?

Visto il tenore della nuova norma, infatti, noi italiani abbiamo bisogno di regole più chiare, espresse in termini di obblighi e doveri (“l’organizzazione DEVE”), senza troppe frasi del tipo “se ritenuto necessario”, “quando necessario”, “conservare informazioni documentate affinché si possa avere fiducia del fatto che…”, “le informazioni documentate che l’organizzazione determina necessarie per…” e così via.

Vediamo sinteticamente quali sono queste regole applicative che dovrebbero agevolare anche il compito dell’auditor dell’Organismo di Certificazione, evitando inutili discussioni su cosa richiede la norma e cosa dovrebbe effettivamente essere presente per dimostrare la conformità del sistema di gestione per la qualità.

1. Se l’organizzazione migra dalla versione 2008 della ISO 9001 avrà un Manuale Qualità ed anche se esso non è espressamente richiesto dalla ISO 9001:2015 farà meglio a tenerselo. Naturalmente revisionandolo e rendendolo più snello, evitando inutili ridondanze con le procedure. Perché comunque il Manuale rappresenta il vertice della c.d. “piramide della documentazione”, il documento di maggior sintesi che richiama documenti più di dettaglio (è un po’ come il “main program” che richiama le varie “subroutine” dei programmi software). Del resto eliminando il Manuale, comunque dovremo documentare la Politica, i Processi ed altro…. dove li mettiamo se non nel manuale? Le aziende che pensano in futuro di certificarsi secondo la normativa del settore automotive IATF 16949:2016 considerino che tale standard richiede il manuale qualità.
2. Le procedure chi ce le ha se le tenga e chi è di nuova certificazione ci pensi bene a non predisporle. L’evoluzione dell’organizzazione aziendale negli ultimi 20-30 anni è andata sempre verso la definizione in forma documentata delle modalità di svolgimento delle attività, per definire regole precise che devono essere seguite da tutti, per evitare il caos ove ciascuno fa quello che gli pare. Se non ci sono procedure e istruzioni documentate nelle aziende italiane non solo si tende ad interpretare i processi in modo “personalizzato”, secondo quello che il singolo ritiene meglio, ma i nuovi nell’incarico non hanno modo di imparare a ricoprire il ruolo perché l’addestramento è sempre scarso e non trovano regole scritte precise su cosa fare e cosa non fare. Ovviamente ci sono casi e casi: in determinate situazioni l’operatività è guidata dai sistemi informativi e, pertanto, non è facile portare a termine attività in modo diverso, per cui dettagliare troppo non serve.
3. L’analisi del contesto dell’organizzazione e la valutazione dei rischi sono da documentare. Infatti se suddette attività devono essere riesaminate periodicamente (ad esempio in occasione del riesame di direzione) come facciamo a ricordarci quello che abbiamo detto sull’argomento un anno o sei mesi fa se non scriviamo nulla? Quale imprenditore o Direttore Generale riesce ad analizzare il contesto interno ed esterno della propria organizzazione, identificare e valutare i rischi oralmente nello stesso modo a distanza di tempo, senza nemmeno tenersi una traccia scritta? Dal momento che poi le azioni pianificate per affrontare rischi ed opportunità devono essere documentate con tanto di responsabilità, tempi e valutazione dell’efficacia che senso ha documentare le azioni, ma non i rischi che le hanno scaturite?
4. La norma ISO 9001:2015 non richiede più il Rappresentante della Direzione, che in molte realtà coincideva con la figura del Responsabile Qualità (ce se diverso dal rappresentante della Direzione non era richiesto neanche prima): non ha nessun senso eliminare il Responsabile Qualità. Alcuni imprenditori che non hanno ben compreso la questione hanno cominciato a dire: “ma allora possiamo eliminare il responsabile qualità, con quello che costa!”. In un mondo perfetto nel quale la Qualità è patrimonio di tutti e tutti applicano la norma in modo adeguato il Responsabile Qualità potrebbe effettivamente non servire, ma nelle nostre aziende italiane chi fa e fa fare le cose che servono per mantenere la certificazione senza il Responsabile Qualità? Oggi in molte realtà il Responsabile Qualità non solo svolge più attività di quelle di sua stretta pertinenza, ma costringe gli altri (responsabili di funzione, Direzione ed altri) a fare il loro dovere. Bisognerebbe alzargli lo stipendio, altro che eliminare la figura!
5. La norma prevede che sia l’organizzazione a determinare “cosa è necessario monitorare e misurare”, come e quando farlo per ottenere risultati validi. Ora più di prima è necessario identificare indicatori pertinenti con gli obiettivi ed in grado di misurare l’efficacia – se non anche l’efficienza – dei processi. Le aziende non pensino che questa libertà possa permettere loro di decidere gli indicatori a loro convenienza: l’aumento di fatturato per il processo commerciale e il numero assoluto delle non conformità per la produzione non sono indicatori sufficienti a misurare suddetti processi e gli obiettivi di nessuna azienda.
6. La norma non prevede più le azioni preventive, ma le azioni finalizzate a migliorare l’efficacia e l’efficienza del Sistema e dei suoi processi sono state rinforzate. Le azioni preventive, ovvero quelle azioni finalizzate ad evitare il verificarsi di non conformità potenziali, sono solo un “di cui” delle azioni di miglioramento: chiamiamole così, non solo AP.

In conclusione la norma ISO 9001:2015 deve essere vista con lo spirito giusto dalle aziende italiane, dimenticandosi di quello che è stato fatto in passato, per evitare di buttare via tempo e denaro per un adeguamento forzoso che non porterebbe alcun vantaggio nel tempo all’impresa. Sarà compito anche degli auditor degli Organismi di Certificazione cercare di far capire alle aziende il reale significato di questa norma, ma bisognerà vedere se avranno tempo e voglia per farlo, soprattutto se osteggiati da rappresentanti dell’azienda e consulenti che affermeranno che la norma non richiede un manuale, non richiede delle procedure e non è prescrittiva per tante altre attività. Il rischio, in tal caso, è che l’auditor alzi bandiera bianca e dica “fate un po’ quello che volete… se non avete capito voi a cosa servono certe cose…”.

A proposito l’Appendice C della UNI ISO 9001:2015 italiana non esiste, ma è meglio far finta che le regola sopra esposte esistano veramente.

Gli organismi abilitati alle verifiche secondo il D.P.R. 462/2001 (“Regolamento di semplificazione del procedimento per la denuncia di installazioni e dispositivi di protezione contro le scariche atmosferiche, di dispositivi di messa a terra di impianti elettrici e di impianti elettrici pericolosi”) si troveranno presto ad affrontare l’accreditamento UNI CEI EN ISO/IEC 17020:2012 (“Valutazione della conformità – Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni”) reso obbligatorio dal Ministero dello Sviluppo economico.

Sono coinvolte oltre 230 organizzazioni collocate prevalentemente al Nord Italia (oltre la metà degli organismi) con un fatturato che – per la maggior parte di essi (oltre il 60%) – si posiziona al di sotto dei 500.000 euro.

Le attività svolte da tali organismi sono strettamente correlate alla Sicurezza ed Igiene sul Lavoro delle aziende che devono eseguire le verifiche di messa a terra degli impianti elettrici (ogni 5 anni o con frequenza biennale in determinate situazioni) servendosi dei verificatori di organismi abilitati secondo il DPR 462/2001.

L’obbligo di accreditamento ISO 17020 comporterà sicuramente un aggravio dei costi fissi per gli organismi che vorranno rimanere su un mercato che ha visto negli ultimi anni una forte concorrenza sui prezzi. Come per altri servizi obbligatori per legge, le Imprese spesso scelgono di rivolgersi a coloro i quali offrono il prezzo più basso, pur soddisfando i criteri minimi previsti dalla Legge. Tale sistema, ormai in uso in molte realtà, è sicuramente deleterio per il settore, spingendo gli organismi ad una lotta al ribasso dei prezzi, talvolta trascurando l’efficacia dei controlli e delle verifiche svolte.

Da questo punto di vista l’obbligo di accreditamento ACCREDIA è sicuramente un elemento positivo nell’accrescere l’affidabilità di tali servizi, strettamente correlati alla sicurezza delle persone che lavorano in azienda. Infatti le verifiche ACCREDIA, seppur onerose, potranno garantire un’applicazione più omogenea di metodi e procedure tecniche di verifica da parte degli organismi, a tutto vantaggio del mercato e della tutela della sicurezza delle aziende.

Indubbiamente l’adozione di un sistema di gestione conforme alla norma UNI CEI EN ISO/IEC 17020:2012 (si veda articolo sulla normaISO 17020) potrà risultare particolarmente impegnativo per piccole organizzazioni che non conoscono tale schema, soprattutto per quelle che non dispongono nemmeno di un sistema di gestione per la qualità certificato ISO 9001. Il sistema qualità, infatti, costituisce un “di cui” del sistema ISO 17020 da implementare.

Fanno eccezione Organismi di Ispezione di grandi dimensioni (TUV Italia, RINA, ecc.) che dispongono già della struttura organizzativa, delle competenze e dell’assetto documentale per affrontare questo nuovo accreditamento senza particolari scossono.

Gli Organismi più piccoli dovranno, quindi, accorparsi a formare Organismi più grandi e strutturati oppure accreditarsi per conto proprio.

Per ottenere l’accreditamento ISO 17020 gli organismi già certificati ISO 9001 dovranno integrare il loro sistema qualità per rispondere ai requisiti della norma ISO 17020 e dei Regolamenti Accredia (RG.01.01, RG.01.04) e Linea Guida EA (ILAC P10, ILAC P15), magari approfittando – se già non lo hanno fatto – dell’adeguamento a ISO 9001:2015 della norma sulla qualità, per revisionare il sistema.

Per gli altri il lavoro sarà più lungo ed impegnativo, in quanto occorrerà adeguare il Manuale ed integrare le procedure esistenti.

Gli elementi più critici della ISO 17020 che dovranno essere affrontati dagli organismi abilitati secondo il DPR 462/2001 ritengo possano essere i seguenti:

• Valutazione dei rischi di imparzialità e gestione dell’indipendenza;
• Valutazione, qualifica e monitoraggio ispettori/verificatori;
• Pianificazione (predisposizione del piano di ispezione) e rendicontazione delle attività di verifica (emissione del rapporto di ispezione/verifica);
• Monitoraggio e controllo delle attività di verifica;
• Gestione rapporti contrattuali con i clienti (Regolamento, offerte e contratti);
• Gestione della taratura e controllo degli strumenti di misura;
• Gestione della formazione del personale esterno;
• Valutazione delle prestazioni, riesame di direzione e miglioramento.

Naturalmente occorrerà integrare la documentazione esistente (in misura maggiore se l’organismo non è certificato ISO 9001): manuale qualità, procedure, istruzioni operative, check-list e linee guida per lo svolgimento dell’attività.

Il CREDIT RISK MANAGEMENT SYSTEMS CRMS FP 07:2015 (CRMS) è il primo schema (proprietario) che tratta la gestione del rischio di credito commerciale. Nasce dalle crescenti esigenze delle organizzazioni di mantenere il controllo sui crediti verso clienti, che se mal gestiti sono spesso una delle principali cause di fallimento delle imprese.

Il SGRC è coerente con i principi dell’HLS elaborato dall’ISO per gli standard sui Sistemi di Gestione (es. ISO 9001:2015, ISO 14001, ISO 27001, ecc.).

La finalità è quella di indirizzare le aziende nell’implementazione di procedure per la gestione del credito che permettano di determinare il livello di rischiosità del cliente, implementando azioni atte a contenere tale rischio mediante la definizione di un livello massimo di esposizione o altre forme di mitigazione, come la definizione di modalità e termini di pagamento coerenti, garanzie e clausole contrattuali appropriate e così via.

Il SGRC permette così l’espansione delle vendite senza compromettere l’equilibrio economico e, soprattutto,  finanziario dell’azienda.

Il Sistema recepisce l’approccio PDCA e la struttura di tutte le nuove norme sui sistemi di gestione (Contesto dell’organizzazione, Leadership, Pianificazione per il Sistema di gestione del credito, ecc.) pertanto si presta perfettamente ad essere integrata in atri Sistemi di Gestione (ISO 9001, ISO 14001, ISO 27001,…).

Tutti i requisiti sono ovviamente declinati nell’ottica della gestione del credito, ad es. l’Organizzazione deve identificare le parti interessate pertinenti al Sistema di Gestione per il Credito e i requisiti di tali parti interessate attinenti la gestione del credito, tenendo conto anche di eventuali

requisiti cogenti, ecc. Anche l’analisi del contesto esterno ed interno all’organizzazione è volta ad identificare i principali fattori che influenzano l’aspetto economico-finanziario, quali termini di pagamento imposti dal mercato o cogenti, tassi di interesse, accesso al credito presso Istituti di Credito o Società finanziarie, dinamiche dei costi del processo produttivo o di erogazione dei servizi, ecc.

Naturalmente l’attività di pianificazione delle attività finalizzate ad affrontare rischi ed opportunità nella gestione del credito commerciale costituisce uno dei capisaldi dello standard.

Il SGRC si basa sulla politica nella gestione del credito stabilita dalla direzione, che deve definire obiettivi ed indicatori per monitorare il raggiungimento degli obiettivi di gestione del credito.

A supporto della Direzione per la realizzazione del SGRC occorre nominare un Credit Manager che, indipendentemente da altri compiti e responsabilità, svolgerà determinate attività e assumerà precise responsabilità sull’argomento.

Le risorse e le relative competenze del personale devono essere commisurate alle esigenze di gestione del credito. Anche comunicazione, informazioni documentate e infrastrutture devono essere pianificati in base alle necessità di gestire il credito ed i relativi rischi connessi.

Per quanto riguarda le Attività Operative, l’organizzazione deve applicare un processo formale e documentato per l’analisi del rischio di perdita del credito. Tale processo include l’utilizzo di un modello di scoring attraverso il quale attribuire classi di rischio a ciascun cliente e determinare, di conseguenza, il grado di affidabilità del cliente in termini di solvibilità.

Il modello di credit scoring elabora una serie di informazioni utilizzando semplici ponderazioni e calcoli basati sull’esperienza aziendale oppure elaborati metodi statistici, pervenendo ad un punteggio sintetico di rating.

Il modello di scoring dovrebbe prendere in considerazione svariate informazioni, quali:

• Puntualità e ritardi nei pagamenti pregressi;
• Livello di esposizione nei confronti dell’organizzazione;
• Dati societari (bilanci, ecc.)
• Informazioni commerciali sul rischio di credito del cliente ottenute da società specializzate;
• Elementi pregiudiziali e protesti;
• Storicità e potenzialità del rapporto commerciale;

Il modello di scoring non deve necessariamente essere un modello “validato” dalla teoria sull’argomento o soddisfare determinati canoni o standard, ma deve, soprattutto, rispondere alle esigenze dell’organizzazione per una efficiente gestione degli incassi e mitigazione del rischio di credito. Come vedremo nel seguito, la validazione del modello è interna, al fine di soddisfare i requisiti propri dell’organizzazione.

Se, infatti, Banche e società specializzate in rating finanziario hanno algoritmi elaborati di un certo tipo, per una PMI le esigenze potrebbero essere diverse, per esempio il medesimo ritardo nei pagamenti per organizzazioni diverse potrebbe avere un peso diverso nell’algoritmo di scoring.

A valle della classificazione dei clienti in una determinata classe di rischio, o comunque nell’attribuzione di un rating per ogni cliente, in base a criteri stabiliti, devono essere intraprese azioni per trattare il rischio di credito in ogni situazione. Si può variare, secondo le esigenze e le opportunità di ogni singola azienda, dalla riduzione o limitazione del fido, alla modifica delle modalità di pagamento o addirittura alla cessazione delle forniture fino al rientro del debito.

Il modello di scoring e le attività di mitigazione del rischio di credito conseguenti devono essere validate per dimostrare la loro capacità di ridurre il rischio di insolvenza. Questo può essere dimostrato migliorando gli indicatori stabiliti per monitorare il rischio di credito (es. percentuale di insoluto rispetto al fatturato, media dei ritardi di pagamento dei clienti, esposizione finanziaria, ecc.).

Le linee di credito dovranno essere stabilite, approvate e periodicamente riesaminate da funzioni della struttura organizzativa aziendale appositamente incaricate.

Oltre a quanto appena esposta dovranno essere definiti e gestiti i processi di comunicazione con i clienti, fatturazione, controllo operativo del portafoglio clienti, gestione del contenzioso e recupero crediti, controllo dei processi/prodotti/servizi affidati all’esterno, mediazione o azione legale, gestione perdite su crediti, continuità operativa.

La valutazione delle prestazioni è analoga a quanto previsto per la norma ISO 9001:2015:

• Occorre stabilire ed attuare attività di monitoraggio e misurazione dei processi finalizzata a valutare l’efficacia del sistema di gestione del credito;
• Vanno pianificati e condotti audit interni per verificare se il CRMS è conforme ai requisiti ed attuato efficacemente;
• Deve essere periodicamente effettuato un Riesame di Direzione, finalizzato a valutare il raggiungimento degli obiettivi, nonché l’efficacia del CRMS;
• Deve essere implementato un processo di miglioramento basato sul trattamento delle non conformità e sulla pianificazione ed attuazione delle conseguenti azioni correttive ritenute necessarie.

In conclusione lo schema è ben strutturato e costituisce un ulteriore anello di congiunzione fra sistemi qualità ISO 9001 e controllo di gestione, al fine di gestire l’azienda in maniera coordinata ed efficace, oltre che efficiente, da diversi punti di vista.

Tra i vantaggi nell’implementare il CRMS – ed eventualmente di certificarlo con un Organismo di Certificazione – vi sono la garanzia di ridurre in modo pianificato, e oserei dire scientifico, il rischio di perdite da crediti insoluti e il miglioramento della reputazione aziendale nei confronti degli Istituti di Credito che, al di là di altri parametri, riconosceranno nell’organizzazione che attua un CRMS certificato, un soggetto sicuramente più affidabile nell’erogazione di credito, proprio perché tiene maggiormente sotto controllo i propri crediti.

Il Nuovo Regolamento Europeo sulla Privacy (GDPR), emanato lo scorso maggio ed in vigore entro fine maggio 2018, pone nuove questioni relativamente all’impiego di programmi software per l’elaborazione di dati personali, in particolare se si tratta anche di dati c.d. “sensibili” secondo la vecchia definizione del D. Lgs 196/2003.

Infatti il nuovo Regolamento Europeo sulla privacy (“Regolamento UE 2016/679 del Parlamento europeo”) impone alle organizzazioni che intendono effettuare trattamenti di dati personali di “progettare” il sistema in modo tale che sia conforme fin da subito (Privacy by design ) alle regole della privacy, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento, quando identificato.

Nella pratica una organizzazione, prima di impiegare un applicativo software per trattare dati personali dovrà verificare che esso sia conforme ai requisiti stabiliti dal Regolamento UE 679/2016, ovvero che presenti caratteristiche di sicurezza adeguate per mantenere protetti i dati personali, compresa l’eventuale pseudonomizzazione dei dati personali, quando necessaria, e la cifratura dei dati stessi.

Il Regolamento parla anche di “certificazione” della privacy, che può riferirsi ad un singolo o ad un insieme di trattamenti effettuati da un programma software, oppure da tutti i trattamenti effettuati da una organizzazione. In quest’ultimo caso siamo molto vicini alla certificazione del sistema di gestione ISO 27001, anche se in realtà il GDPR intende qualcosa di differente. Al proposito è stato approvato da ACCREDIA lo schema proprietario ISDP©10003:2015 (conformità alle norme vigenti EU in tema di trattamenti dei dati personali)che conente di certificare un prodotto, processo o servizio relativamente alla gestione dei dati personali, quindi anche un applicativo software che tratta dati personali.

Lo schema di certificazione ISDP 10003:2015 risponde ai requisiti di cui agli art. 42 e 43 del Regolamento 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti ai vincoli normativi vigenti nel territorio dell’EU, i requisiti necessari per la corretta valutazione della conformità alle norme stesse.

Per maggiori informazioni su questo schema di certificazione si veda la pagina del sito Inveo http://www.in-veo.com/servizi/certificazioni-inveo/isdp-10003-2015-data-protection.

Ricordiamo anche che all’art 25, coma 2 il Regolamento sancisce che:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Rappresenta la c.d. Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.

La certificazione introdotta all’Art. 42 può servire a dimostrare l’adozione di misure tecniche ed organizzative adeguate.

L’impatto di queste regole sugli applicativi software utilizzati per trattare anche dati personali è notevole: una organizzazione di qualsiasi dimensione che adotta un sistema informatico gestionale che tratta dati personali non in modo conforme al Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate. Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.

Dunque prima di adottare un nuovo software che gestisce archivi contenenti dati personali (a maggior ragione se vengono gestiti dati sanitari o altri dati c.d. “sensibili”) titolari e responsabili del trattamento devono valutarne la conformità alla normativa sulla privacy e questo può essere al di fuori delle competenze di chi decide l’acquisto di un applicativo software (responsabili EDP, Direttori Generali, ecc.), soprattutto nelle piccole e medie imprese o nelle strutture sanitarie di modeste dimensioni (es. Cliniche ed ambulatori privati).

La casistica di software che ricadono in questa sfera è vastissima, si va dai comuni ERP che trattano anche dati del personale, ai software per la gestione delle paghe, ai programmi per la gestione delle fidelity card, ai software impiegati in strutture sanitarie o quelli utilizzati dagli studi legali.

Oggi molti applicativi, magari obsoleti, non permettono di implementare misure di sicurezza adeguate (password di lunghezza adeguata, password di complessità minima variate periodicamente, password trasmesse via internet con connessioni crittografate, gestione utenti, raccolta di dati minimi indispensabili, gestione dei consensi, procedure di backup, ecc.) e in futuro il loro impiego diverrà non conforme alla normativa sulla privacy, ovvero non saranno più commercializzabili.

Da un lato i progettisti e gli sviluppatori di applicativi software dovranno considerare fra i requisiti di progetto anche quelli relativi alla normativa privacy, dall’altro le organizzazioni che adotteranno applicativi software (o che già li stanno utilizzando) saranno responsabili della loro eventuale non conformità al Regolamento Privacy. Sicuramente una certificazione di tali applicativi o un assessment indipendente potrà sollevare il titolare del trattameto dalle rsponsabilità (cfr. principio dell’accountability) connesse all’adozione di un software che non tratta i dati in conformità al GDPR.

Ad oggi sono molte le organizzazioni certificate ISO 9001:2008 che non hanno ancora adeguato il loro sistema di gestione per la qualità alla nuova ISO 9001:2015. Anche se il termine per effettuare il passaggio alla nuova norma è abbastanza lontano (15/09/2018) i tempi per effettuare una migrazione efficace ed efficiente non sono abbondanti per molte imprese, infatti sarebbe opportuno effettuare la migrazione in occasione di un rinnovo della certificazione oppure di una visita di sorveglianza/mantenimento al fine di contenere i costi di certificazione.

Questo perché in occasione degli audit di rinnovo l’Organismo di Certificazione già deve verificare tutti i processi dell’organizzazione e la documentazione di sistema, dunque i costi aggiuntivi sono minimi, se non addirittura nulli.

Negli audit di sorveglianza richiedere l’adeguamento alla ISO 9001:2015 potrebbe essere un po’ più oneroso, ma per quelle organizzazioni che hanno la scadenza del certificato oltre la data limite per l’adeguamento (14 settembre 2018) questa è l’occasione migliore per passare alla nuova norma.

Visto che ormai il 2016 è passato, resta di fatto poco più di un anno e mezzo, ovvero solo una o due visite dell’Organismo di Certificazione – a seconda dei casi – per effettuare il passaggio, che comunque dovrà avvenire durante un audit svolto con congruo anticipo rispetto alla data limite sopra indicata, per consentire all’Ente di sbrigare tutte le pratiche necessarie per il rinnovo del certificato in ISO 9001:2015.

Le organizzazioni che avranno la visita dell’Organismo di Certificazione nella seconda parte dell’anno avranno solo una occasione per rinnovare il loro certificato secondo queste modalità.

Rimandare eccessivamente può portare a costi aggiuntivi, infatti sarebbe necessario richiedere una visita straordinaria nell’estate 2018 (probabilmente prima della chiusura per ferie di agosto) per rinnovare in tempo il certificato, consci del fatto che lasciare scadere il certificato vorrà dire perdere di fatto la certificazione ISO 9001 e, quindi, dover intraprendere l’iter dal principio per riottenere la certificazione di qualità. In questi casi sicuramente ci sarebbero costi aggiuntivi.

Ma quale sono le ragioni dell’evidente attendismo di molte imprese nell’effettuare il passaggio? Le principali motivazioni possono probabilmente riassumersi nelle seguenti:

• Posticipare i costi di adeguamento (organismo di certificazione, consulenza, impegno interno,…);
• Incertezza sul mantenimento della certificazione oltre la scadenza del certificato;
• Incertezza sul futuro dell’organizzazione;
• Timore sull’impatto dell’adeguamento nell’organizzazione interna.

Sicuramente la prospettiva nel breve termine di molte piccole imprese è sui processi primari essenziali (produzione, commerciale) e viene evitato tutto ciò che porta impegno e costi su altri processi, soprattutto in realtà sottodimensionate in termini di risorse. Evidentemente non è stata adeguatamente compresa la portata di questa norma e del sistema di gestione per la qualità come reale strumento di gestione, di controllo e di miglioramento di tutta l’azienda. Un po’ di paura nell’affrontare un cambiamento normativo non indifferente come quello del 2008 completa il quadro di parecchie organizzazioni.

Le interpretazioni sbagliate sulla nuova norma ISO 9001:2015 non mancano, da quelle eccessivamente “terroristiche” (requisiti molto più difficili da soddisfare) a quelle eccessivamente semplicistiche (si può buttare via il manuale e tutte le procedure ed anche rottamare il responsabile qualità).

Le linee guida UNI-Conforma, la linea guida ISO/TS 9002:2016 da poco pubblicata ed altri documento potrebbero aiutare nella corretta interpretazione dei requisiti.

L’approccio corretto – a mio parere – dovrebbe essere quello di pianificare l’adeguamento per tempo, allocando le risorse necessarie al progetto. Purtroppo molte organizzazioni chiedono e continueranno a chiedere “quanto costa passare alla nuova norma?”, “quanto tempo ci si mette?”. A queste domande non c’è una risposta univoca corretta e rivolgersi al tal consulente piuttosto che ad altri solo perché promette costi e tempi inferiori è un grave errore che molti imprenditori commetteranno.

Costi e tempi per l’adeguamento dipendono da svariati fattori:

• Il sistema qualità è stato mantenuto aggiornato alla realtà aziendale oppure è obsoleto, modificato solo a fronte di rilievi dell’organismo di certificazione?
• I processi sono adeguatamente descritti oppure sono delineati in modo minimale e generico?
• Vengono sistematicamente calcolati e monitorati indicatori idonei a misurare le prestazioni dei processi oppure sono gestiti solo pochi indici standard poco aderenti alla realtà aziendale?
• La Direzione vuole semplicemente mantenere il certificato con il minimo sforzo oppure vuole sfruttare questo strumento per tenere sotto controllo l’organizzazione e cercare di migliorare?

Dalle risposte a queste domande si può capire meglio il lavoro che sarà da fare.

Situazioni con organizzazioni vicine alle prime parti delle domande sopra riportate sarebbero difficilmente certificabili secondo la nuova norma ISO 9001:2015, ma probabilmente lo saranno ugualmente ingannando se stesse. Il risparmio di tempi e costi nell’adeguamento potrà essere pagato in futuro mantenendo prassi obsolete e non efficienti, contrarie al vero spirito della norma.

Il tanto vituperato appesantimento della norma sulla certificazione di qualità, soprattutto dal punto di vista documentale, in realtà non esiste, a maggior ragione ora che bisogna “mantenere le informazioni documentate che servono”. Il problema che molti detrattori della ISO 9001 non si rendono conto che molte evidenze (informazioni documentate) servono anche a cautelarsi quando qualcosa va storto (gestione dei rischi).

Di fatto molte piccole  e medie imprese italiane sono lontane dai principi ispiratori della nuova norma sui sistemi di gestione per la qualità, ma non è detto che per ottenere la certificazione serva essere completamente in linea con essi, il percorso di miglioramento potrebbe essere più lungo, la verifica di passaggio alla ISO 9001:2015 potrebbe evidenziare molti rilievi, ma pian piano le carenze potranno essere eliminate e l’azienda potrà essere condotta su principi di gestione migliori di quelli attuali, secondo standard internazionali riconosciuti.

Operativamente la maggior parte dei sistemi qualità ISO 9001:2008 necessiterà delle seguenti attività:

• Formazione del personale sulla norma ISO 9001:2015;
• Identificazione e descrizione del contesto dell’organizzazione;
• Valutazione dei rischi di business (generali e specifici dei vari processi aziendali), attività che passa attraverso l’identificazione dei rischi, la loro ponderazione e la definizione delle misure da porre in essere per il loro trattamento;
• Revisione della mappatura dei processi (il livello di approfondimento dipende dallo stato del sistema qualità esistente);
• Rivalutare l’insieme di indicatori da monitorare (anche in questo caso dipende da cosa esiste attualmente);
• Revisione della documentazione del sistema qualità esistente: sicuramente il manuale qualità andrà per lo meno snellito, procedure e istruzioni saranno da aggiornare per riferimenti obsoleti, per recepire le azioni di trattamento dei rischi, per aggiornarle alla realtà aziendale e migliorarle in ottica di efficacia ed efficienza;
• Sottoporre ad audit interno il sistema di gestione per la qualità secondo le prassi abituali;
• Effettuare un riesame della direzione sul sistema di gestione per la qualità che recepisca i nuovi elementi.

L’eliminazione di documenti di tipo procedurale e il non tener evidenza documentale di talune attività (analisi del contesto, valutazione dei rischi, …) sono false semplificazioni, adatte solo a chi sa recitare senza leggere il copione, ovvero ad organizzazioni che hanno ben chiaro il proprio contesto organizzativo, i propri rischi, le azioni attuate per mitigarli, le procedure aziendali e tutte le prassi da adottare a tutti i livelli dell’organizzazione.

Le attività da completare potrebbero essere non eccessivamente impegnative e non tutte devono necessariamente essere completate prima della visita di certificazione.

Se in qualche caso l’impegno appare eccessivamente gravoso è perché probabilmente non è stato fatto nulla o quasi negli anni scorsi per mantenersi aggiornati. L’inadeguatezza della gestione attuale rispetto ai requisiti della norma ISO 9001:2015 e l’elevato gap da colmare per raggiungere la conformità con la nuova norma dovrebbe far riflettere la Direzione sul fatto che la gestione aziendale non è andata al passo coi tempi.

Esempi di questa situazione si possono trovare quando:

• risulta difficoltoso correlare strategie, politiche ed obiettivi aziendali;
• risulta estremamente impegnativo individuare e soprattutto calcolare indicatori idonei a misurare gli obiettivi e le prestazioni dei processi in termini di efficacia ed efficienza;
• emergono rischi importanti non adeguatamente gestiti;
• emergono carenze di risorse umane e delle relative competenze necessarie;
• emerge che la conoscenza organizzativa ed il know-how aziendale non è curato e tutelato adeguatamente;
• risultano carenze dal punto di vista tecnologico: hardware e software obsoleti, strumenti inadeguati, ecc.

In tutti questi casi la nuova norma ISO 9001:2015 può rappresentare un valido strumento e stimolo per migliorare l’efficacia e l’efficienza interna, molto più che costituire un obbligo certificativo.

Lo scorso 1° ottobre è stata pubblicata la nuova specifica IATF 16949:2016, revisione della Specifica tecnica ISO/TS 16949:2009 che, dunque, non è più norma ISO. Oltre a questo aspetto ci sono molte altre novità nella nuova specifica automotive, a cominciare dal piano di transizione alla nuova norma per i vecchi certificati ISO/TS 16949 e i nuovi certificati IATF 16949:2016, estremamente breve.

Infatti da ottobre 2017 non sarà più possibile certificarsi secondo il vecchio schema ISO/TS 16949 e a settembre 2018 tutti i vecchi certificati ISO/TS 16949 perderanno di validità se non migrati nel nuovo schema.

Ci si attendeva la revisione della ISO/TS 16949 del 2009, legata alla norma ISO 9001:2008 dopo la revisione 2015 della norma sui sistemi di gestione per la qualità, ma le modifiche sono state molto più significative che una semplice riproposizione dei requisiti secondo l’approccio della ISO 9001:2015.

La nuova specifica IATF 16949:2016 presenta in veste di requisito alcune prassi che erano diventate abituali nella catena di fornitura del settore automotive e rende obbligatorio il rispetto dei C.S.R. (Customer Specific Requirments) del cliente automotive, ma non solo.

Le principali novità riguardano sicuramente la gestione dei rischi (e non poteva essere altrimenti dopo l’uscita della ISO 9001:2015) e la gestione dei fornitori, molto più severa che in passato.

I punti principali di innovazione sono così riepilogati:

1. I CSR sono alla base di tutto il processo.
2. Le logiche automotive devono essere basate su logiche economiche (efficienza dei processi) e finanziarie.
3. La Specifica contiene requisiti aggiuntivi rispetto alla ISO 9001:2015, ma la suddetta norma non fa più parte del testo della specifica automotive, ma è solo richiamata.
4. È presente una sezione specifica (Allegato B) che fornisce le linee guida ed indicazioni sulle modalità da attuare per gestire alcuni processi/attività in assenza di una specifica del cliente. I tool da poter utilizzare per la gestione di SPC, MSA, FMEA, APQP, ecc. sono solo quelli indicati nell’Allegato B (es. Manuali AIAG, ANFIA, VDA, ecc.).
5. Viene introdotta la sostenibilità aziendale dei fornitori.
6. Responsabilità Sociale d’Impresa: si deve predisporre ed attuare un sistema di gestione che prevenga le frodi, la corruzione ed altri reati (è esplicitamente richiesto un codice etico/di condotta). Naturalmente quelle imprese che già dispongono di un modello organizzativo secondo il D.Lgs 231 dovranno solo integrarlo nel sistema qualità.
7. I fornitori devono avere un processo sequenziale stabilito di crescita che ha come obiettivo finale il conseguimento della certificazione IATF 16949. Sono coinvolti tutti i fornitori della catena di fornitura del prodotto e relativi componenti/materie prime/lavorazioni esterne.
8. Viene introdotta la gestione del rischio d’impresa facendo esplicito riferimento alla ISO 31000 (oltre che alla ISO 19011 ed alla ISO 9001 stessa).
9. La logica di tutto il sistema è la business continuity, ma il focus si sposta dal manufacturing (aspetto compreso anche nella precedente versione della specifica) a tutti i processi aziendali che possono generare interruzioni dell’operatività.
10. Compaiono requisiti specifici per il software inserito nel veicolo, con necessità di validazione dello stesso.
11. Il set minimo di indicatori da misurare nel sistema di gestione è riportato nella Specifica IATF.
12. Occorre garantire sempre più la sicurezza del prodotto.

In conseguenza delle modifiche, sostanzialmente tutte aggiuntive di requisiti, le giornate di verifica degli Organismi di Certificazione dovrebbero aumentare.

Molti aspetti dovranno essere chiariti dalle Rules di prossima pubblicazione e da eventuali Linee Guida nell’applicazione e nella verifica dei nuovi sistemi IATF 16949.

La nuova specifica mira a garantire la continuità operativa e la sostenibilità di tutta la catena dell’automotive e gli obiettivi economici potranno essere raggiunti e migliorati solo attraverso l’efficienza che potrà accrescere i margini, normalmente molto ridotti, anche se applicati a volumi di produzione elevati e continuativi.

Inoltre nella nuova IATF 16949:2016 sono citati per la prima volta strumenti e metodologia spesso adottate nell’automotive, quali la lean production, il Problem Solving, i 5S, ecc.

Anche i software impiegati per il controllo qualità e per la gestione della qualità dovranno essere validati e saranno sottoposti a verifica da parte degli auditor dell’Organismo di Certificazione.

Infine i tempi di transizione sono estremamente ridotti:

• Dal Marzo 2017 gli Organismi di Certificazione potranno certificare secondo la nuova specifica IATF 16949:2016.
• Le nuove certificazioni potranno essere emesse secondo la ISO/TS 16949:2009 solo fino a Settembre 2017
• Le transizioni alla nuova specifica IATF 16949 dalla vecchia ISO/TS 16949, per le aziende già certificate, termineranno con gli audit di Maggio 2018 per consentire alle aziende di risolvere eventuali non conformità entro la scadenza di tutti i vecchi certificati ISO/TS 16949, fissata per il 14 Settembre 2018.