Standard, i sistemi di gestione integrati e multinorma: ecco come funzionano - Cyber Security 360

L'analisi

Standard, i sistemi di gestione integrati e multinorma: ecco come funzionano

L’integrazione e la creazione di un sistema multinorma sono le soluzioni che permettono alle imprese di non perdersi nella normativa dei tanti adempimenti previsti dalla legge e al contempo di migliorare l’adesione agli standard richiesti

02 Mar 2021
S
Manuel Angelo Salvi

DPO GRC Team

Le organizzazioni italiane sono sempre più sovraccaricate da adempimenti che ne appesantiscono la gestione, ingolfano i processi e consumano risorse. Gli apparati normativi obbligatori (GDPR, D.Lgs. 231/2001, D.Lgs. 81/2008), gli adempimenti specifici di settore (AML o HACCP ) e gli standard internazionali si trovano a coesistere nel medesimo contesto organizzativo con proprie strutture di gestione, processi, adempimenti e controlli.

Se le organizzazioni più grandi pongono rimedio a questa giungla normativa con appositi uffici compliance, le realtà più piccole annaspano e all’italiana si “arrangiano” nel tentativo di non evitare l’immobilismo da eccesso di procedure.

Le normative obbligatorie vengono sopportate e spesso considerate indiretti balzelli e ostacoli alla piena libertà operativa, ma gli standard internazionali facoltativi sono talvolta visti come inutili sovrastrutture cartacee “buone” solo per l’ottenimento del “bollino” di certificazione.

Eppure gli standard dovrebbero rendere più efficace ed efficiente la gestione delle organizzazioni, e non rispondere a esigenze “di facciata”. Come fare a raggiungere la conformità ottenendo pienamente i benefici di un sistema di gestione? L’unica risposta possibile è l’integrazione e la creazione di un sistema multinorma.

Quando un sistema di gestione è “fake”

La scelta di non implementare appieno il sistema di gestione è una grave inefficienza in termini di costi, poiché l’investimento in formazione, consulenza e energia dedicata non è pienamente sfruttato e ciò si traduce in un‘inefficienza, similare al comprare un macchinario 4.0 e poi non leggerne i dati.

La più significativa controindicazione al sistema di gestione, che mi permetto di chiamare “fake”, è la conseguente crescita di complessità dell’organizzazione.

Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa

Un sistema di gestione prevede responsabilizzazioni, ruoli, procedure, controlli e numerose attività che debbono essere implementate. Se l’adesione è simbolica tali elementi dovranno comunque essere indossati dall’organizzazione, per esigenze di facciata o semplicemente per superare i periodici audit di controllo dell’ente di certificazione.

Tale schema di facciata si depositerà come un velo su un sistema pre-esistente fatto di consuetudini operative. Le nuove procedure gradualmente e lentamente, nella quotidiana routine, a seguito di scelte e/o preferenze estemporanee dei singoli dipendenti, verranno in parte adottate, rigettate o personalizzate, figliando molteplici sotto-sistemi ibridi.

Può una moderna organizzazione investire ingenti risorse per un sistema di gestione, per poi boicottarlo? La consequenziale mancanza di omogeneità di prassi e attività all’interno dell’organizzazione, dovute alla libera adozione dello staff, genera un inevitabile incremento della complessità e una accresciuta resistenza al cambiamento, poiché ogni funzione aziendale tenderà a crearsi un proprio personalissimo sistema.

In un contesto così fatto, l’adozione del sistema di gestione non solo non porterà giovamento ma forse renderà ancor più complesso l’ambiente organizzativo.

Immaginiamo ora per un momento, che questa organizzazione certificata ISO 9001, non voglia procedere ad implementare un nuovo sistema cavalcando trend globali quali la tutela dell’ambiente o la protezione dei dati. Che opti per la ISO 14001 o per la ISO/IEC 27001, l’implementazione del nuovo standard, secondo lo schema HLS – High Level Structure (struttura ideata appositamente per “imbullonare” più sistemi di gestione in un unico sistema multinorma), non potrà che far deflagare un stato di fatto già di per sé schizzofrenico.

Se il sistema precedente fosse stato pienamente implementato, grazie al HLS, l’adozione di una nuova norma sarebbe più semplice e sfrutterebbe il lavoro già fatto durante l’adozione dello standard precedente.

Se un’organizzazione desidera aderire a più sistemi di gestione sarebbe prima consigliabile verificare la piena adesione agli schemi già in essere, misurandone la reale interiorizzazione e la consequenziale maturità.

Interiorizzazione del sistema di gestione

L’interiorizzazione è l’adozione sostanziale e omogenea di pratiche e principi del sistema di gestione all’interno delle attività quotidiane delle organizzazioni[2].

Alcuni studi arrivano a definire l’interiorizzazione come un metastandard[3]. Quando l’organizzazione assorbe realmente la conoscenza, sia tacita che esplicita, del sistema di gestione, allora i principi e le linee guida degli standard motivano e guidano il cambiamento interno.

La conoscenza esplicita è la conoscenza oggettiva e razionale priva di contesto; rappresenta la versione codificata delle informazioni, che possono essere archiviate e trasmesse (es. la base di documentazione dello standard). Rappresenta il primo step del processo di certificazione.

Molte organizzazione certificate non riescono nemmeno dopo anni ad acquisire la conoscenza esplicita, poichè la compliance è questione “privata” dell’addetto alla gestione dello standard e non è elemento condiviso dall’intero staff.

Molte PMI gestiscono infatti la norma solo nelle settimane precedenti l’ispezione dell’ente e tale attività è espletata dal solo responsabile interno alla compliance affiancato da un consulente esterno.

La conoscenza tacita è una conoscenza soggettiva e basata sull’esperienza che non può essere catturata a parole, immagazzinata e trasmessa, perché è specifica del contesto, come abilità cognitive, convinzioni e intuizioni, nonché abilità tecniche (ad es. know-how).

Solo le organizzazioni che decidono di implementate lo standar in maniera piena e convinta possono sbloccare questo tipo di conoscenza. Il livello di interiorizzazione è dettato da:

  • pianificazione della gestione (politica, obiettivi) e loro diffusione/spiegazione allo staff per generare coinvolgimento;
  • formazione dei dipendenti su concetti e requisiti, e quindi su procedure e attività operative (motivazione, team, identificazione dei bisogni);
  • attività operative e loro continuo aggiornamento (istruzioni di lavoro, procedure di gestione del rischio);
  • monitoraggio e controllo (performance, non conformità, audit).

L’interiorizzazione in conclusione è l’adesione piena e completa allo standard. Come misurare l’interiorizzazione di uno standard? Semplicemente rispondendo affermativamente alle 3 seguenti domande: Lo standard è diventato parte della tua normale routine? I documenti creati ai fini della certificazione vengono utilizzati quotidianamente? I preparativi per gli audit esterni non vengono effettuati all’ultimo minuto?

Il grado di maturità

Se si è avviato un corretto percorso d’interiorizzazione, possiamo parlare di maturità del modello, se invece di è deciso di non interiorirzzare avremo come detto un modello fake o di facciata, che non potrà altro che essere acerbo.

La maturità è il “grado in cui un’organizzazione esegue processi che sono esplicitamente e coerentemente documentati, gestiti, misurabili, controllati e continuamente migliorati[4]”. La maturità è una progressione attraverso livelli consequenziali che rappresentano il percorso evolutivo di adesione allo standard, portando a risultati affidabili e sostenibili.

Se l’interiorizzazione è considerata un metastandard, la maturità lo è a pieno titolo. La ISO IEC 15504 Software Process Improvement and Capability Determination (SPICE) è uno standard tecnico per lo sviluppo software, che può essere utile anche per definire un modello di maturità per altri sistemi di gestione.

Il modello SPICE ripensato per la ISO IEC 27001 prevede 6 diversi livelli. I primi 3 livelli sono per lo più legati alla gestione puntuale dei processi e alle conoscenze individuali necessarie per il funzionamento dello standard, e sono costruiti su piccoli incrementi, affinchè la crescita sia graduale e commisurata alla risorse.

0_ Incompleto: nessun processo è implementato oppure vi è poca o nessuna evidenza di un raggiungimento sistematico dello scopo del processo.

1_ Eseguito: Politica, obiettivi, processi e procedure rilevanti sono eseguite in conformità con gli obiettivi generali attesi, pur non conseguendoli pienamente.

2_ Gestito: il processo raggiunge lo scopo previsto. È implementato (pianificato, monitorato e adattato) con adeguati livelli di stabilità, controllo e mantenimento.

I successivi 3 livelli richiedono gradi di accresciuta maturità, una visione e una conoscenza aziendale profonda, e sono:

3_ Affermato: il processo viene implementato utilizzando un processo definito (standard) in grado di raggiungere i risultati attesi.

4_ Prevedibile: il processo opera entro limiti definiti per raggiungere i risultati attesi.

5_ Ottimizzato: il processo viene continuamente migliorato.

Un ulteriore possibile strumento per misurare la maturità del nostro sistema di gestione è il confronto fra gli elementi strutturali dello standard – i punti norma – e la loro reale adozione da parte dell’organizzazione, secondo 4 categorie di criticità:

  • incompleto: ogni elemento dello standard può essere collegato a un elemento del sistema di gestione adottato dall’organizzazione. Se non vi è piena coincidenza, è considerato incompleto;
  • ridondante: elementi dello standard sono reiterati e presenti più spesso di quanto necessario nel sistema di gestione adottato dall’organizzazione. In tal caso il sistema è ridondante;
  • eccesso: Il sistema di gestione adottato dall’organizzazione ha più elementi richiesti dallo standard. In tal caso vi sono elementi in eccesso;
  • sovraccarico: elementi dello standard sono accorpati o fusi in un medesimo elemento del sistema di gestione adottato dall’organizzazione. In tal caso il sistema è sovraccarico.

Quando il sistema non presenta queste 4 criticità è maturo[5]. La Maturità in conclusione è il grado di assimilazione dei principi e delle pratiche dello standard. La reale efficacia a lungo termine di uno standard dipende dalla profondità con cui le persone adottano e implementano lo standard.

HLS antidoto alla complessità: i vantaggi dell’integrazione

Fin dal 2008, ISO ha iniziato un graduale percorso di integrazione fra i diversi standard con la prima pubblicazione del Handbook “The Integrated Use of Management System Standards (IUMSS)” mentre nel 2012 ha stabilito il High Level Structure – HLS – una struttura comune fra le diverse norme. L’HLS si strutturata su 10 elementi comuni fra le norme e su un glossario di 21 termini e definizioni condivise.

Eliminazione delle ridondanze

I punti introdotti dal HLS rimangono invariati nei contenuti al variare della norma, se non in toto in una parte significativa. Si pensi ad esempio al Contesto o all’Analisi del rischio, dove senza integrazione questi punti norma dovrebbero essere riscritti integralmente con il rischio di essere discordanti o difformi tra loro, con analisi del rischio che utilizzino metodologie diverse o giungano a conclusioni non omogenee.

Con l’integrazione si ha un’unica stesura del punto norma, che puntualizzi eventuali specifiche necessarie per rispondere a esigenze peculiari di ogni norma. Alcuni componenti del sistema possono essere accorpati (Politica di certificazione, Obiettivi, Processi e Risorse), alcuni processi trasversali a tutti i sistemi (es. Formazione, Riesame della direzione, Azioni di miglioramento) possono essere gestiti impegnando minori risorse (Es: I controlli GDPR e 27001 potrebbero essere integrati), svolgendoli tali attività in simultanea (Audit multinorma), riducendo la burocrazia, lo staff impiegato o gli interventi dei consulenti esterni.

Riduzione della complessità

Un sistema integrato diventa indubbiamente più snello con una produzione documentale inferiore. Procedure e Policy integrate comportano un numero minore di incombenze, le quali diverrebbero coerenti fra loro. Un sistema più agile equivale a una maggiore coerenza nei processi di comunicazione, nella definizione delle priorità, nell’assunzione delle decisioni, nell’allocazione delle risorse, nella definizione e implementazione di nuovi processi e procedure.

La riduzione della complessità si traduce in una diretta riduzione della burocrazia e dei costi di manutenzione del sistema.

Maggiore Accountability

Un unico sistema catalizza l’energia e l’attenzione della leadership così come del personale. La definizione degli obiettivi e il loro raggiungimento è coordinato e non conflittuale. Si passa da un sistema dove norme diverse ed i relativi responsabili collidono nel tentativo di dividersi le risorse a un sistema sinergico ed olistico.

Semplicità

Un unico sistema è più semplice da comunicare e da diffondere all’interno dell’organizzazione migliorandone l’applicabilità e la sua piena comprensione da parte di tutti gli stakeholder.

La stessa leadership sarà agevolata nella definizione degli obiettivi avendo maggiore chiarezza, comprensione e compiutezza degli stessi, passando da un prima (sistema non integrato) in cui gli obiettivi vengono visti come meri buoni propositi da ascrivere in una casella vuota, ad un dopo (sistema integrato) i cui gli obiettivi sono strategicamente definiti e il sistema di gestione è compenetrato con i processi core.

Il percorso d’integrazione

Non esiste un modello definito o un percorso migliore. Ogni organizzazione dovrà progetta e implementare il proprio sistema di gestione integrato secondo le proprie esigenze, la propria maturità, le competenze del proprio staff dedicato, la natura degli altri sistemi di gestione o semplicemente adattandolo a una tabella di marcia piò o meno forzata.

L’integrazione fra più sistemi di gestione può essere incrementale lasciando che i sistemi convivano l’uno affianco all’altro e vengano poi gradualmente integrati. Scelta che potrebbe essere preferibile ove più sistemi siano già in essere o dove l’unico sistema presente non sia stato adottato in maniera convinta e quindi sia lacunoso.

In tale situazione, forse la meno impegnativa, avremo un’integrazione soft dove solo alcuni processi (formazione, audit interni, riesame, miglioramento) verranno integrati mentre i sistemi manterranno de facto una propria struttura documentale (manuale e procedure) distinta e separata.

Al contrario l’immediata integrazione è consigliabile qualora l’azienda abbia una cultura gestionale sufficientemente matura e consequenzialmente si possa procedere ad una integrazione completa di tutta la struttura documentale e dei processi.

Un elemento significativo che potrebbe influire sulle modalità d’integrazione è lo staff, l’allocazione delle competenze, la naturale resistenza al cambiamento di parte del proprio personale e le diverse sensibilità degli auditor interni.

L’eccessiva specializzazione del personale dedito alla gestione dei sistemi potrebbe compromettere in parte l’integrazione; si pensi a un’azienda certificata ISO 14001 con un responsabile unico con competenze ed esperienze specifiche ambientali, che debba integrare la norma in auge con una ISO 27001, che richiede competenze estremamente diverse.

A tal riguardo un errore comune, soprattutto nelle PMI, è affidare la responsabilità del processo d’integrazione al responsabile del sistema di gestione in essere.

Immaginiamo che l’organizzazione sia certificata ISO 9001 e decida d’implementare la ISO IEC 27001 per la protezione dei dati. Affidare la gestione di entrambi i sistemi al responsabile qualità potrebbe comportare un processo d’integrazione delle due norme forzatamente sbilanciato a favore del sistema qualità, poiché abitus mentale, esperienza e competenza del responsabile qualità lo porterebbero immancabilemente a polarizzare la sua attenzione solo su alcuni aspetti, a sovrastimare l’importanza di elementi conosciuti e a sottostimare aspetti non affrontati in passato o appresi solo in chiave teorica.

Altro fattore critico potrebbe essere la poco disponibilità a una operatività sinergica da parte dei diversi Responsabili; si pensi ad un’organizzazione che abbia più sistemi di gestione non integrati e che nel processo d’integrazione trovi proprio in coloro che vi debbano adempiere l’ostacolo più significativo al processo d’integrazione, a causa di una resistenza al cambiamento o per la difesa d’interessi specifici.

Conclusioni

Più forti saranno gli elementi ostativi, descritti in questo articolo, maggiore dovrà essere la capacità persuasiva del responsabile del processo d’integrazione, il quale dovrà avere le necessarie competenze trasversali per guidare i diversi responsabili e possedere capacità persuasive per coinvolgere e motivare lo staff abbattendone le resistenze.

Tale figura, inoltre, dovrà avere un ruolo gerarchico superiore e soprattutto avere una forte e chiara sponsorship da parte dei vertici.

Guida polare del nostro percorso d’integrazione oltre all’ausilio di una risorsa esterna avvezza all’implementazione e gestione di sistemi multinorma, oltre all’uso di software gestionali multinorma, è l’ISO Handbook The Integrated Use of Management System Standards (IUMSS).

NOTE

  1. M. Gianni, K. Gotzamani Extrovert Integrated Management Systems.
  2. Testa F., Boiral O., Iraldo F. (2018a). “Internalization of Environmental Practices and Institutional Complexity: Can Stakeholders Pressures Encourage Greenwashing?”. Journal of Business Ethics
  3. Heras-Saizasbitoria – Internalization of ISO 9000: an exploratory study (2011).
  4. T. Mettler, (2009) “A design science research perspective on maturity models in information systems,” St. Gallen: Institute of Information Management, University of St. Gallen,systems,” St. Gallen: Institute of Information Management, University of St. Gallen, 2009.
  5. J. Borbinha, D. Proenca (2018) – Information Security Management Systems – A Maturity Model Based on ISO/IEC 27001.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5