LA GUIDA PRATICA

Documentazione dei sistemi di gestione, ecco perché è importante darsi delle regole

Troppo spesso in azienda non si ha cura nel definire regole per la redazione della documentazione relativa ai sistemi di gestione, con possibili ripercussioni negative, ad esempio in caso di audit. Vediamo le soluzioni

08 Giu 2020
C
Marco Crociani

Company security Governance - Lead Auditor 27001 Member of AIPSI (Italian Chapter of ISSA)


La prima richiesta che viene porta in fase di audit è quella di avere a disposizione la documentazione dei sistemi di gestione e delle procedure in uso. In un sistema di gestione organizzato si dovrebbero poter distinguere tra un documento in lavorazione, emesso ed in vigore, e annullato o dismesso.

Bisognerebbe anche poter ricostruire quali erano i documenti in vigore in un dato momento. Sarebbe anche opportuno garantire che tutti gli interessati vengano avvisati se vi è qualche variazione nella documentazione di loro interesse e di fare in modo che possano accedere al documento di validità corrente.

In caso si istituisca un Sistema di Gestione della Sicurezza delle Informazioni, deve essere chiaro dove si andranno a documentare e come, le varie fasi delle attività del sistema.

Anche se le considerazioni appena fatte potrebbero sembrare ovvie, ci sono dei fenomeni che indicano che nella pratica non è proprio così. L’informatizzazione sempre più diffusa e soprattutto la maggiore possibilità di condivisione dei documenti con sempre maggiore velocità, unita alla difficoltà umana di potersi adattare a un diverso modo di scrivere e condividere e distribuire documenti rispetto alla gestione che si aveva con i documenti cartacei rende necessarie alcune riflessioni.

Documentazione dei sistemi di gestione: le difficoltà

Se da una parte le grandi organizzazioni si possono coadiuvare di supporti informatici di document workflow management e di strutture organizzative, che in maniera implicita e con relativamente poche personalizzazioni si possono occupare della gestione del tema; lo stesso è di difficile realizzazione per una piccola organizzazione, che dovrebbe comunque definire poche semplici regole che possano essere di riferimento.

La mancanza di indicazioni sullo stato di redazione di un documento, oltre all’incertezza sulla distribuzione dei documenti agli interessati sono alcune delle difficoltà che si incontrano.

Altri aspetti riguardano, oltre fastidiose e confusionarie non uniformità grafiche, la non chiarezza ed univocità dei termini nella nomenclatura dei documenti. Per esempio, più volte sono stato costretto a definire o discutere sulla differenza di significato tra i termini “Politiche”, “Procedure”, “Linee guida” e i corrispondenti contenuti informativi in mancanza di una dichiarazione univoca all’interno della organizzazione.

Un altro tipo di difficoltà è data dalla diversa dimensione delle attività di collaborazione: un conto è condividere e sviluppare un documento tra un ristretto gruppo di persone un’altra cosa è la collaborazione per la redazione tra più dipartimenti.

Infatti, può capitare che, in mancanza di regole, un documento, distribuito a diverse persone in parallelo per commenti o correzioni, diventi difficile gestire chi sceglie la versione definitiva nel caso di opinioni multiple sullo stessa porzione di testo o che accetti o meno la correttezza di un suggerimento.

Di fatto, si verifica che ognuno lavora sulla sua copia con il risultato che ci sono diverse versioni dello stesso documento. Sebbene la necessità di dover fare un lavoro a tante mani è inevitabile, non avere regole potrebbe rendere la redazione di un documento un limbo da cui si esce con estrema difficoltà e avere dei costi, in termini di risorse, sproporzionato rispetto allo scopo che si prefigge, o, cosa ancora più pericolosa, per la necessità di mettere una terminazione dell’attività, rendere definitivo ed emettere un documento incompleto.

Perché servono regole per i processi documentali

Al termine delle fasi di produzione di un documento questo passa dallo stato di redazione a quello di attesa approvazione.

Ma quali sono le regole da seguire per il processo di approvazione e di pubblicazione? E una volta che si legge il documento, quali sono le regole per identificare, in modo certo e dimostrabile, la validità?

Non sempre è strutturato il modo con cui viene reso pubblico il documento e non ci si assicura sempre di aver fatto il possibile perché almeno tutti gli interessati siano stati informati: se un documento non viene pubblicizzato è come se non esistesse.

Caso ancora peggiore è quello in cui quando si è sostituito un documento precedente non ci si è anche assicurati che il vecchio testo sostituito non costituisca più una fonte di informazione e sia stata tolta dalla disponibilità di accesso.

Altre volte mi sono imbattuto in diverse situazioni singolari: dai documenti sempre nello stato di bozza, a quelli senza indicazione di versione, senza data, a quelli che, per comodità sono stati trasformati in sgualciti pezzi di carta con annotazioni e correzioni sovrapposte nel tempo.

Oppure, processi di condivisione via mail delle bozze, magari depositati in qualche cartella condivisa, senza che sia mai stato comunicato agli interessati della loro esistenza in forma definitiva. Il rischio è che molti hanno in mano diverse versioni delle bozze ma non sanno quale è la versione definitiva o la versione ultima.

Così come non è raro il caso in cui la versione definitiva di un documento rimanga sull’ultima mail di approvazione, e distribuita con tale mezzo solo agli interessati: se altri, in tempi successivi, possono avere necessità di conoscerne il contenuto si devono affidare alla memoria ed alla volontà di qualcuno o perdere tempo nella ricerca della documentazione necessaria, corretta e completa.

Documentazione dei sistemi di gestione: le soluzioni

Per ridurre questo tipo di problema penso che sia necessario che la modalità di creazione, approvazione e pubblicazione dei documenti segua dettami precisi di gestione.

In particolare, mi riferisco ai documenti che l’organizzazione produce per regolare il suo funzionamento e in particolare quella che serve come riferimento per la definizione di un sistema di gestione che sia oggetto di certificazione o che semplicemente si riferisca ad istruzioni operative.

Anche se ritengo che tutti gli aspetti documentali di una organizzazione ne possa trovar giovamento. Solo in un caso, nella mia vita lavorativa, mi è capitato di vedere un piano della documentazione molto articolato e completo che prevedesse e indicasse perfino le regole del layout grafico, proprie della identità della singola società.

A parte questo caso singolare, penso che si possa avere poche regole sui documenti e comunicarle e condividerle all’interno della organizzazione, aiuta a ridurre la confusione sopra esemplificativa e presenta il vantaggio di essere uno strumento per definire e comunicare una identità aziendale, sia verso l’esterno che verso i propri collaboratori.

Obiettivi del modello di documentazione

Un modello di documentazione permette di raggiungere alcuni obiettivi:

  • prevenire o limitare derive incontrollate date dal vezzo personale di utilizzo degli strumenti informatici di office automation;
  • definire in modo univoco la terminologia da adottare ed in uso, per evitare ed interpretazioni personali sul significato dei termini;
  • rendere accessibile il corpus documentale previsto e disponibile, tramite, per esempio, tabelle di controllo;
  • controllare lo stato di evoluzione, se necessario, dei documenti in lavorazione o valutarne la necessità di revisione.

Un modello ideale di piano della documentazione dovrebbe considerare alcuni aspetti:

  • indicare come dovrebbe essere organizzata la biblioteca dei documenti in modo che sia agevole poter raggiungere i documenti necessari. Questo aspetto, oltre che ad avere dei risvolti di utilità organizzativa, copre anche la necessità di poter dimostrare la evidenza della presenza e disponibilità delle informazioni;
  • definire ruoli e responsabilità del processo di produzione di un documento, identificando quantomeno dove risiede la responsabilità ultima della documentazione e della pubblicazione. Di fatto, poiché la quantità di documenti, di copie e di versioni dello stesso documento che girano nelle mail e nelle directory stanno diventando un fenomeno a volte ingestibile. Tale funzione è quella che dovrebbe avere l’autorità di controllare, validare, pubblicare, sostituire o escludere un documento dalla biblioteca dei documenti della organizzazione e quindi essere il punto di chiarezza;
  • definire eventuali necessità di classificazione dei documenti. Così come definire il comportamento da adottare quando si viene a contatto con documenti che, per classificazione, non dovrebbero essere di competenza. Classificare un documento significa assegnargli un valore per l’organizzazione, che sia strategico o di riservatezza/privacy, e definire i confini di circolazione, in prima istanza distinguendoli tra quelli di pubblico dominio da quelli per uso interno, associandoli a ruoli aziendali autorizzati al trattamento (come nel caso dei trattamenti GDPR) o a liste di distribuzione ristrette, per esempio per i documenti strategici dell’alta direzione. Senza giungere agli estremi in cui mi sono imbattuto di documenti (desecretati) militari, in cui le prime pagine indicavano le sanzioni cui era sottoposto il possessore non autorizzato del documento e le istruzioni da seguire per segnalare la presenza di un documento fuori posto, le anomalie nella distribuzione potrebbero essere utili, oltre che per individuare fughe di notizie, eventualmente migliorare alcuni processi aziendali. Da ricordare che una classificazione di sicurezza può solo essere allentata, solo scendere, mai salire;
  • definire una terminologia comune che riduca errori di interpretazione, o ambiguità. Oltre ai termini già citati, per esempio, deve essere dichiarato quale significato ha il termine bozza e renderlo termine comune. Uscendo da significati di valenza tipografica, in cui una bozza è finalizzata alle fasi di prova di stampa prima della tiratura definitiva: una interpretazione potrebbe essere che una bozza è un documento non ancora completo, in cui il redattore sa che alcuni aspetti del testo devono ancora essere completati per rendere completo la sua trattazione prima di doverla esporre ad un processo di revisione. In tale accezione, abbozzare una idea e metterla per iscritto per presentarla potrebbe costituire un documento completo, finito, non è una bozza. Indipendentemente dal fatto che debba essere sottoposto a revisione o commenti di altre persone: se non ci sono modifiche da apportare è già a posto, così per la fase successiva;
  • delineare i flussi e le fasi dei processi documentali, poiché un documento ha un suo ciclo di vita, che inizia dalla sua ideazione, da momenti di composizione correzione e redazione, alla sua pubblicazione fino al momento dell’archiviazione è necessario che tali momenti siano chiaramente distinti per permettere di essere certi sulla tipologia di documento si ha tra le mani;
  • definire le modalità di archiviazione dei documenti obsoleti;
  • definire il workflow e la nomenclatura degli stati dei documenti.

In una organizzazione in genere ci si aspetta che un documento abbia valore se emanato dalla direzione, o chi la rappresenta, in linea con le sue politiche e che, prima di essere reso pubblico, abbia seguito un iter di condivisione e di approvazione.

I criteri per identificare le versioni

Il criterio con cui si identificano le versioni è un altro aspetto controverso. Può essere qualsiasi, deve però essere univoco all’interno della organizzazione. Mi è successo di osservare che fossero in uso criteri diversi in diverse unità della stessa azienda.

L’idea di inserire una data di scadenza costringe ad effettuare una revisione del documento da parte di chi lo ha emesso o confermare la validità, o correggerlo rispetto alle mutate condizioni, o ritirarlo dal corpus documentale per l’archiviazione. Si potrebbe definire un valore di default implicito, es.: 2 anni dalla data di redazione, ma potrebbe sfuggire alla attenzione.

Definire una data dovrebbe fare venire il dubbio di verificarne la sua attualità eventualmente chiedendo al redattore conferma e sollecitare una revisione se la data di scadenza è stata superata o ci si trova in un suo intorno.

Il manuale della documentazione dei sistemi di gestione

Quanto detto finora copre la necessità di poter scrivere ed individuare le caratteristiche di un documento, manca ancora la parte di indicazione di dove si trova la documentazione ufficiale.

Il manuale della documentazione deve poter descrivere come è possibile reperire la documentazione ufficiale dell’azienda e come devono poter essere disponibili i documenti di lavoro propri dei vari ambiti (almeno per quello che riguarda le registrazioni necessarie nei sistemi normati (registrazioni di qualità, eventi di sicurezza, log ecc.).

Degli indici e dei repository aziendali, che siano cartelle condivise o sulla intranet o con altri sistemi di condivisione, dovrebbero essere indicati e resi disponibili per facilitare l’accesso.

La definizione di una figura responsabile della documentazione sarebbe ideale per poter provvedere all’aggiornamento degli indici, al controllo della documentazione e la gestione di un eventuale archivio memoria dei fatti documentali storici della organizzazione.

Riassumendo gli elementi che dovrebbero costituire un piano della documentazione sono costituite nella definizione di:

  • responsabilità della documentazione;
  • un glossario dei termini e delle definizione;
  • regole di versionamento;
  • regole di classificazione e di distribuzione e diffusione;
  • costituzione degli Indici dei documenti e del loro stato;
  • regole di approvazione, pubblicazione, controllo e revoca dei documenti;
  • custodia della documentazione obsoleta e loro accesso.

In special modo si deve fare in modo che queste regole siano comprese ed attuate, tramite opportune attività di divulgazione informazione.

Conclusione

In conclusione, avere un criterio di pianificazione della documentazione sia necessario, quanto più per norme obbligatorie come il GDPR o volontarie come le certificazioni.

Deve essere possibile poter conoscere quali sono le norme, procedure ed i documenti rilevanti in un previsto momento aziendale. Per poter essere considerati validi, i documenti devono potere essere riconoscibili ed interpretabili univocamente per tutta la comunità di interesse.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3