Certificazioni ISO: è importante ottenerle, ma diamogli valore - Cyber Security 360

SISTEMI DI GESTIONE

Certificazioni ISO: è importante ottenerle, ma diamogli valore

Un progetto che porti un’azienda alla certificazione deve essere finalizzato alla realizzazione di valore e non meramente di forma o finalizzato alla partecipazione a bandi di gara. L’obiettivo deve essere la definizione di un insieme di principi, procedure e processi che l’impresa decide di adottare per funzionare meglio

11 Gen 2022
N
Francesca Nobilini

Information & Cyber Security Consultant, P4I – Partners4Innovation

I dati statistici disponibili sul sito di Accredia (Ente italiano di accreditamento) mostrano che il numero delle certificazioni in Italia è in crescita anche negli ultimi anni: il nostro Paese continua, dunque, a essere una delle nazioni europee con il maggior numero di certificati sui sistemi di gestione.

Quali sono le Certificazioni più diffuse

La certificazione maggiormente diffusa tra le organizzazioni italiane rimane quella relativa allo standard 9001 – Sistema di gestione per la qualità. La maggiore diffusione la troviamo nel settore delle Costruzioni, laddove probabilmente si è imposta sin dall’inizio.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Dopo il boom della ISO 9001, che ha “fatto notizia” alla fine del secolo scorso, è giunto il tempo di altre certificazioni, sempre più specifiche e al passo con il momento storico che stiamo vivendo. È infatti necessario proteggere un nuovo modo di fare business, che assicuri la continuità delle operazioni, garantisca la protezione dei dati e favorisca la realizzazione di servizi sempre più innovativi, nel rispetto della qualità attesa.

Negli ultimi anni, coloro che si occupano della revisione delle norme ISO sui sistemi di gestione hanno compiuto importanti passi avanti nella direzione dell’allineamento dei requisiti. È stato così fornito un valido supporto alle organizzazioni nel perseguire il raggiungimento della compliance, obiettivo non facilmente perseguibile anche nelle organizzazioni più mature e strutturate.

La compliance al GDPR e la strada per l’integration assurance

Cosa comunica un certificato ISO al mercato

Il certificato ISO ha innegabilmente – non solo ovviamente – un forte valore commerciale.

Inteso come l’insieme di quelle attività tramite le quali un’organizzazione identifica i suoi obiettivi e determina i processi e le risorse necessari a raggiungere i risultati desiderati, un certificato ISO sul proprio sistema di gestione comunica al mercato che quella specifica organizzazione è in grado di ottemperare ai requisiti richiesti e che ha a disposizione gli strumenti, i processi, le persone, le competenze e il denaro per “mantenere le promesse fatte al cliente”. In sintesi, è un’organizzazione capace di cui ci si può fidare.

Non poco direi. Si tratta di un’attestazione di notevole valore strategico, che va rilasciata degli enti di certificazione con particolare attenzione, considerando il potente messaggio che intende veicolare.

La difficile definizione del “perimetro”

Solo in alcuni casi la certificazione è obbligatoria: per le imprese specializzate nella produzione di prodotti che rientrano in determinate categorie (prodotti bio che sono disciplinati da specifici regolamenti, prodotti agroalimentari con il marchio di qualità DOP, prodotti che devono ottenere la marcatura CE).

La certificazione dei sistemi di gestione non è un obbligo imposto dall’esterno, ma una scelta volontaria che l’impresa fa, anche in riferimento al perimetro, cioè all’ambito, ai confini del sistema di gestione che si intende certificare. Si potrebbe ad esempio scegliere di certificare un unico sito produttivo oppure una specifica linea di business.

L’esercizio di analisi per comprendere quali processi, quali funzioni aziendali, quali sedi sono incluse nel perimetro interessato dal sistema di gestione non è banale e la comprensione non è immediata. Purtroppo, nell’intento di semplificare, si eliminano talvolta elementi essenziali, necessari ai processi produttivi interessati dal certificato.

Proprio su questo aspetto occorre prestare attenzione. Non è raro riscontrare certificati rilasciati a copertura di un ambito che appare non correttamente indirizzato dal sistema di gestione, come pure non è raro che vengano evidenziate delle esclusioni – per quegli schemi di certificazione che consentono di escludere alcuni requisiti – per le quali non sono adeguatamente dimostrate le circostanze di inapplicabilità.

Come è noto, in alcuni casi (es. ISO 9001, Annex A della ISO 27001) è possibile escludere dei requisiti, a condizione che siano fornite le necessarie e pertinenti giustificazioni e che tali esclusioni “non influenzano la capacità o la responsabilità dell’organizzazione di assicurare la conformità dei propri prodotti e servizi….

Non è semplice capire se ciò sia dovuto all’urgenza di rispondere ai bandi di gara pubblici e alla conseguente necessità di ottenere un certificato che copra uno “scope” qualsiasi, descritto e interpretato in modo ambiguo, oppure se sia frutto di incomprensioni tra chi ha proposto l’ambito e chi ha effettivamente svolto le verifiche.

Una leggerezza questa che non può, in un momento di ripresa generale come l’attuale, essere considerata una svista.

Il mercato e il paese hanno bisogno di trasparenza e fiducia, e di comprendere con chiarezza cosa il certificato ISO attesta in riferimento alle capacità dell’impresa. Soprattutto spetta a noi auditor, a noi consulenti supportare le organizzazioni e diffondere quella cultura necessaria per dotare le imprese di quella accountability, così frequentemente auspicata.

La mia esperienza mi porta a osservare le imprese dal punto di vista dei sistemi di gestione, ma il tema potrebbe essere di interesse anche per le certificazioni delle professioni, dei prodotti, spaziando dai prodotti alimentari alle pompe di benzina, ai rilevatori di velocità stradale, che necessitano di strumenti di misura da sottoporre periodicamente a processi di conferma metrologica.

A chi spetta il compito di vigilare

Accredia, già Sincert, è l’unico organismo nazionale di accreditamento nominato dal governo italiano in conformità all’applicazione del Regolamento Europeo 765/2008. È pertanto il solo che possa attestare la competenza, l’indipendenza e l’imparzialità degli organismi di certificazione, che svolgono attività di ispezione e verifica, nonché dei laboratori di prova e taratura.

Un compito tutt’altro che semplice se consideriamo anche la necessità di assicurare che tra i diversi enti di certificazione sussista la necessaria uniformità di valutazione, la deontologia professionale, la capacità di comprovare la realizzazione di valore.

A rendere il tutto ancora più sfidante ci sono poi gli accordi internazionali di mutuo riconoscimento tra l’UE e i paesi firmatari, strumenti chiave per l’internazionalizzazione, che devono garantire al mercato l’equivalenza delle certificazioni, delle ispezioni, delle verifiche, delle prove e delle tarature svolte dagli organismi e dai laboratori accreditati.

Accredia è un’associazione riconosciuta che opera senza fini di lucro, sotto la vigilanza del Ministero dello Sviluppo Economico.

Cosa c’è ancora che non va

La scelta di dotarsi di sistema di gestione – prima ancora che di un certificato – dovrebbe essere sentita come una necessità per razionalizzare e comprendere meglio come la propria impresa si è organizzata riguardo al perseguimento di determinati obiettivi, ovvero come funziona in ambiti definiti.

Le famose procedure di cui esso è costituito non sono certo uno sforzo di letteratura, ma sono da intendere come uno strumento fondamentale per il recupero e la continua costruzione della conoscenza del come “noi qui facciamo le cose”, agevolando il difficile passaggio da una conoscenza “tacita” a una conoscenza “codificata”.

Non a caso, Peter Drucker ha definito il concetto di economia della conoscenza fondata sull’utilizzo delle informazioni, che consente apprendimento, innovazione, e che non può prescindere dalla conoscenza dei processi che le generano. Inevitabile il riferimento al ciclo di Deming, semplice e sempre attuale, che consente all’impresa di abbandonare l’approccio intuitivo e di passare ad un approccio sistemico.

Le grandi difficoltà che quasi sempre incontriamo nel “mettere a terra” quanto definito nelle procedure sono per lo più dovute al fatto che a scriverle sono chiamati esperti consulenti esterni, senza l’essenziale partecipazione o il contributo di coloro che conoscono di fatto come vengono svolte le attività. La documentazione delle procedure dovrebbe invece essere il passo finale, dopo aver osservato, compreso e, ove possibile o necessario, migliorato le prassi aziendali.

Anche se oggi la maggior parte delle Best Practice, almeno quelle del settore in cui opero – da ITIL al PMBok, da Cobit a Prince2 – non parlano più di processi, come se non fosse più di moda, è bene ricordare che i processi esistono in natura e che altro non sono che i flussi di lavoro che mettiamo in atto ogni giorno, in qualsiasi cosa facciamo.

I richiami del legislatore

In forza dell’ambito in cui sono chiamata ad operare ogni giorno, una puntualizzazione specifica che mi preme fare riguarda le integrazioni tra il GDPR – Regolamento per la Protezione dei Dati Personali e lo schema di certificazione ISO 27001.

Il Regolamento richiede che le imprese titolari e/o responsabili del trattamento, cioè dell’elaborazione dei dati personali, mettano in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Questo elemento è centrale anche nella ISO 27001; benché essa non rientri tra le certificazioni incoraggiate dal Legislatore secondo quanto previsto dagli Art. 42 e 43 del GDPR, si comprende che un sistema di gestione allineato con questo Standard aiuti a raggiungere la conformità al GDPR perché in entrambi i casi è necessario adottare politiche e processi per identificare, attuare e monitorare l’efficacia di misure di sicurezza appropriate alla protezione dei dati.

Le prescrizioni dell’Art.32 “Sicurezza del trattamento” del GDPR sono dunque parte del Sistema di Gestione della sicurezza delle informazioni, se nel perimetro di certificazione che abbiamo definito ricadono anche i dati personali e le modalità con cui essi vengono trattati.

Questo per dire che il fatto che un’azienda sia certificata ISO 27001 costituisce elemento di garanzia ma si rende necessario anche verificare quale perimetro copra la certificazione. Vi rientrano i trattamenti di dati personali effettuati da prodotti e servizi proposti ed erogati al mercato, i processi di trattamento dei dati personali gestiti internamente per il funzionamento ordinario day by day dell’impresa o tutti i processi di trattamento?

Questa verifica è importante poiché i processi di trattamento dei dati personali devono in ogni caso conformarsi al Regolamento, a prescindere dal perimetro di certificazione.

Su questo ultimo punto, sottile ma basilare, occorre prestare attenzione.

Conclusioni

In sintesi, ciò che sembra importante, e in questo periodo storico-economico ancora di più, è che anche un progetto che porti un’azienda alla certificazione – perché di progetto di trasformazione interna si tratta – sia un progetto finalizzato alla realizzazione di valore e non fine a sé stesso.

Andrebbero pertanto compresi gli obiettivi del progetto, ovvero le ragioni che spingono l’impresa a ottenere un certificato sul proprio sistema di gestione. L’obiettivo non può che essere la definizione di un insieme di principi, procedure e processi che l’impresa decide di adottare per funzionare meglio: regole che tutti devono rispettare, ciascuno al suo livello, che possono rendere l’impresa più sicura, più solida e quindi più competitiva e che costituiscono un asset aziendale di notevole valore.

Se invece le ragioni sono meramente di forma, finalizzate alla partecipazione a bandi di gara, senza l’intento di voler cambiare alcunché, senza porre attenzione sulla coerenza e sull’efficacia del sistema, gli enti di certificazione semplicemente non dovrebbero avvallare la certificazione, per non trasmettere messaggi fuorvianti al mercato.

Infine, una riflessione sulle stazioni appaltanti. Il certificato, richiesto come requisito mandatorio, per rappresentare un elemento di garanzia dovrebbe essere il più pertinente possibile alla fornitura richiesta. Credo che questa consapevolezza debba essere ancora più necessaria oggi, nella prospettiva di rinnovamento che il Paese ha di fronte e i tanti progetti da avviare con un senso di urgenza avvertito come mai in passato.

WEBINAR
27 Gennaio 2022 - 15:00
PIPL: tutto quello che devi sapere sulla nuova normativa cinese
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5