Una metodologia di valutazione deirischi per la sicurezza delleinformazioni

La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezzadelle informazioni – Requisiti), recentemente pubblicata innuova versione 2013 dall’ISO, richiede una valutazionepreliminare dei rischi sulla sicurezza delle informazioni(punto 4.2.1) al fine di implementare un sistema di gestionedella sicurezza delle informazioni idoneo a trattare i rischiche l’organizzazione effettivamente corre in meritoall’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed imetodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso,in funzione della dimensione, della complessità e del tipo di organizzazione che sista esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento perla gestione del rischio in ambito sicurezza delle informazione, ma anche altre normequali la ISO 31000 (Risk management – Principles and guidelines) – recepita inItalia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO31010 (Risk management – Risk assessment techniques) possono essere prese ariferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato apreparare una valutazione dei rischi sulla sicurezza delle informazioni.

Il processo di gestione dei rischi comprende le seguenti fasi, descritte nelseguito:

1) Identificazione dei rischi

2) Analisi e ponderazione dei rischi

3) Identificazione e valutazione delle opzioni per il trattamento dei rischi

4) Scelta degli obiettivi di controllo ed i controlli per il trattamento deirischi

5) Accettazione dei rischi residui.

Le attività suddette vengono descritte nel Rapporto di valutazione dei rischi (Riskassessment report).

L’identificazione dei rischi che incombono sulla sicurezza delle informazioniavviene attraverso:

a) L’identificazione degli asset significativi all’interno del SGSI: taleattività avviene come descritto nella procedura Identificazione e valutazione degliasset.

b) La valorizzazione ai fini del SGSI degli asset rilevati: tale attivitàavviene come descritto nella procedura Identificazione e valutazione degli asset. Lavalorizzazione degli asset in termini di riservatezza, integrità e disponibilitàavviene per singolo asset oppure per gruppi di asset omogenei ai fini del SGSI; nelseguito in entrambe le situazioni si utilizzerà il termine asset intendendosi anche“raggruppamento di asset”.

c) Identificazione delle minacce/pericoli che incombono sugli asset: taleattività viene svolta valutando le minacce note della letteratura e quelleipotetiche specifiche in relazione ai servizi svolti dall’organizzazione. Le minaccevengono associate agli asset (e quindi alle informazioni che essi gestiscono) evengono valorizzate in una scala da 1 a 3 (Bassa, Media, Alta). La stessa minacciapuò assumere un livello di gravità diverso a seconda dell’asset cui si applica..

d) Identificazione delle vulnerabilità: tale attività viene svolta valutando levulnerabilità note della letteratura, quelle ufficiali comunicate da fontiautorevoli e quelle ipotetiche specifiche in relazione ai servizi svoltidall’organizzazione. Le vulnerabilità vengono associate agli asset (e quindi alleinformazioni che essi gestiscono) e vengono valorizzate in una scala da 1 a 3(Bassa, Media, Alta). La stessa vulnerabilità può assumere un livello di gravitàdiverso a seconda dell’asset cui si applica.

e) Identificazione degli impatti o conseguenze che la perdita dei requisiti diriservatezza, integrità e disponibilità possono avere sugli asset. Le conseguenzedel concretizzarsi di una minaccia in grado di sfruttare una vulnerabilità vengonoanch’esse valorizzate attraverso la formula seguente:

Impatto = Valore Asset x Gravità Minaccia x Gravità Vulnerabilità.

L’analisi e ponderazione dei rischi per la sicurezza delle informazioni identificatiavviene attraverso:

a) La valutazione della probabilità che si verifichino i singoli rischiidentificati nella fase precedente. La probabilità di accadimento di un rischioavviene considerando gli incidenti verificatisi in passato e statisticheeventualmente disponibili. L’assegnazione di una livello di probabilità attraverso

una scala qualitativa avviene secondo il seguente schema:

Valore Descrizione Esempio

1 Mai verificatosi ma possibile Non è mai accaduto nella storiadell’organizzazione

2 Raro Accaduto una volta all’anno

3 Periodico Accaduto circa 3 volte l’anno

4 Regolare Accaduto circa una volta al mese

5 Frequente Si verifica settimanalmente

b) Determinazione dell’indice di esposizione al rischio moltiplicando lagravità dell’impatto per la probabilità. Il risultato ottenuto sarà un valore da 3 a81.

c) Definizione dei criteri di accettazione dei rischi: si stabilisce unlivello minimo di tolleranza dei rischi al di sotto del quale i rischi vengonoaccettati ed al di sopra del quale i rischi devono essere trattati con azionimirate.

Relativamente alla identificazione e valutazione delle opzioni per il trattamentodei rischi, per i rischi che si è deciso di trattare, in ordine decrescente dalmaggiore al minore, vengono scelte delle azioni di mitigazione del rischio, chepossono consistere nelle seguenti opzioni:

Ridurre il rischio attraverso l’applicazione di obiettivi di controllo econtrolli preventivi e correttivi, finalizzati alla riduzione degli effetti(impatto) del verificarsi del rischio e/o alla riduzione della probabilità chesi verifichi.Evitare il rischio attraverso l’applicazione di obiettivi di controllo econtrolli finalizzati ad evitare che si concretizzino le situazioni chepermettono al rischio di concretizzarsi, ovvero ridurre a zero la probabilitàche l’incidente paventato si verifichi.Trasferire il rischio attraverso la stipula di polizze assicurative oppurel’esternalizzazione a fornitori di processi ed attività con la relativa presa incarico da parte del fornitore dei relativi rischi.

Tali azioni vengono documentate nel Piano di trattamento dei rischi. Esso devedefinire le singole azioni da intraprendere, i tempi e le relative responsabilità erisorse per gestire i singoli rischi. L’efficacia delle azioni pianificate porteràad un ricalcolo della valutazione dei rischi, ottenendo nuovi indici.

La scelta degli obiettivi di controllo e dei controlli per il trattamento dei rischida attuare avviene in base dall’elenco dei controlli applicabili definito a partiredai controlli identificati a livello normativo (norme della famiglia ISO 27000) acui si possono aggiungere altri controlli ritenuti utili.

I controlli vengono ritenuti applicabili o non applicabili, se applicabili possonoessere attuati in modo completo o parziale. L’applicazione dei controlli può infattiessere ritenuta conveniente solo su alcuni processi/attività, in funzione delladiversa esposizione al rischio che possiedono le varie attività svoltedall’organizzazione.

L’attuazione del piano di trattamento dei rischi porta all’accettazione dei rischiresidui, ovvero ad evidenziare i rischi residui ritenuti accettabili, datodall’insieme dei rischi valutati accettabili in sede di prima valutazione dei rischied i rischi residui trattati dalle azioni contenute nel piano di trattamento deirischi.

Il piano di trattamento dei rischi riporta le seguenti informazioni:

1) Elenco dei rischi da trattare;

2) Descrizione delle relazioni fra il rischio e l’azione di trattamento delrischio prescelta;

3) Descrizione delle relazioni fra il rischio e gli obiettivi di controllo ed icontrolli selezionati per gestire il rischio.

Lo scopo della procedura Identificazione e valutazione degli asset (predisposta conriferimento alla ISO 27005 – Information technology — Security techniques —Information security risk management – Annex B – Identification and valuation ofassets and impact assessment) dovrebbe essere quello di definire le modalitàoperative e le responsabilità per l’effettuazione e l’aggiornamento del censimentodei beni (asset) aziendali e la relativa valutazione, in termini di riservatezza,integrità e disponibilità delle stesse. In essa vengono stabiliti:

la classificazione degli asset;l’identificazione di ogni asset che ha impatto sulla sicurezza delleinformazioni;la valutazione quantitativa di ogni asset in relazione alla sua importanza perla sicurezza delle informazioni.

La classificazione degli asset potrebbe distinguere due categorie principali diasset:

Asset primari: processi/attività ed informazioni;1.Asset di supporto: hardware, software, reti, personale, sito, struttura2.organizzativa.

Gli asset possono essere delle seguenti tipologie:

Information asset: dati digitali e non digitali, sistemi operativi, software1.

applicativo, beni intangibili (conoscenza, marchi, brevetti, …).Asset fisici: infrastruttura IT, Hardware, Sistemi di controllo, Servizi IT.2.Risorse Umane: dipendenti, collaboratori esterni e consulenti.3.

L’identificazione e ed il censimento degli asset aziendali (asset inventory) ha loscopo di identificare i requisiti di sicurezza (riservatezza, integrità edisponibilità) degli stessi e valutarne possibili vulnerabilità.

Ad ogni information asset deve essere associato un valore in termini diRiservatezza, Integrità e Disponibilità; tale valore viene espresso in terminiqualitativi attraverso l’attribuzione di un livello di importanza (Basso, Medio,Alto) a cui è associato un valore numerico crescente (1,2,3).

Ad ogni asset di supporto o asset non informativo (risorse fisiche e risorse umane)viene associato un valore in termini di criticità dell’asset, dato dalla somma deivalori di importanza dei requisiti dell’asset in termini di Riservatezza, Integrità,Disponibilità in funzione delle informazioni che esso gestisce. Dunque l’importanzadi una risorsa per la sicurezza dipende dai requisiti di Riservatezza, Integrità eDisponibilità, espressi in livelli (Basso/Medio/Alto) a cui corrisponde il valore1/2/3.

Di conseguenza il valore associato all’asset potrà variare da un minimo di 3(Riservatezza=Basso + Integrità=Basso + Disponibilità=Basso) ad un massimo di 9(Riservatezza=Alto + Integrità=Alto + Disponibilità=Alto).

Poiché gli asset possono essere di diversi tipi (risorse fisiche e risorse umane),la metodologia di valutazione dei requisiti di sicurezza delle informazioni èdifferente per ogni tipo di asset.

Il Valore dell’Asset in termini di sicurezza delle informazioni viene utilizzato nelRisk Assessment in combinazione con:

le minacce che incombono sugli asset che possono sfruttare le vulnerabilitàrilevate degli asset stessi;la probabilità che la minaccia si concretizzi in un incidente di sicurezza(delle informazioni);la gravità dell’impatto associato all’incidente.

La norma ISO 19011 sugli audit nei

sistemi di gestione

La UNI EN ISO 19011:2012 – Linee guida per audit di sistemi digestione pubblicata lo scorso anno, presenta alcuneinteressanti novità rispetto alla versione precedente del 2003,anche se nella sostanza i cambiamenti non impattano in modosignificativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo diaudit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente(ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestionedegli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001,sulla sicurezza e salute sul lavoro, ecc.

Oltre ai soliti capitoli introduttivi presenti in tutte le norme ISO (Scopo e campodi applicazione, riferimenti normativi, termini e definizioni, ecc.) ed al capitolo“Principi dell’audit”, la norma presenta due capitoli fondamentali:

GESTIONE DI UN PROGRAMMA DI AUDITSVOLGIMENTO DI UN AUDIT

La ISO 19011:2012 fa prevalentemente riferimento alla gestione degli audit di primae seconda parte, ovvero agli audit interni e quelli eseguiti dal cliente sulfornitore, mentre per gli audit di parte terza (svolti dagli Organismi diCertificazione) il principale riferimento è diventato la ISO 17021:2011.Paradossalmente gli auditor degli organismi di certificazione su sistemi di gestionedovranno considerare questa norma come possibile linea guida, mentre i requisiti daosservare sono contenuti solo nella ISO 17021.

La norma introduce il concetto di rischio associato all’attività di audit di sistemidi gestione, ma l’approccio adottato riguarda sia il rischio che il processo diaudit non raggiunga i propri obiettivi, sia l’eventualità che l’audit interferiscacon le attività e i processi dell’organizzazione oggetto dell’audit, trascurando ilfatto che l’audit può evidenziare comportamenti e prassi “rischiose” perl’organizzazione. Per rischiose intendo procedimenti rilevati (difformi o meno alleprocedure stabilite) che possono portare a non conformità, nelle sue variedeclinazioni: prodotti non conformi, incidenti (per la sicurezza delleinformazioni), non conformità di sistema, ecc..

Le definizioni del capitolo 3 apportano lievi modifiche a quelle della precedenteversione della norma. Si noti che il termine “verifica ispettiva” è completamente

sparito da questa e dalle norme della famiglia ISO 9000, a favore del termine“audit” sebbene l’impiego della precedente terminologia sia rimasto nell’uso comunedei sistemi di gestione per la qualità ed anche alcuni organismi di certificazionecontinuino ad usarlo, mentre altri impongono alle aziende clienti l’aggiornamentodella terminologia. Nella sostanza i due termini rimangono sinonimi e nulla vieta dicitare il primo termine al posto del secondo nella propria documentazione disistema.

In generale l’elenco dei termini e definizioni richiama più un audit di un ente dicertificazione piuttosto che un audit interno di auna piccola impresa.

I principi dell’audit delineati dalla norma al capitolo 7 sono i seguenti:

a) Integrità: il fondamento della professionalità.

b) Presentazione imparziale: obbligo di elaborare rapporti veritieri e accurati.

c) Dovuta professionalità: l’applicazione di diligenza e di giudizio nel corsodel l’attività di audit.

d) Riservatezza: sicurezza delle informazioni.

e) Indipendenza: la base per l’imparzialità dell’audit e l’obiettività delleconclusioni dell’audit.

f) Approccio basato sull’evidenza: il metodo razionale per raggiungereconclusioni dell’audit affidabili e riproducibili in un processo di auditsistematico.

Probabilmente l’enfasi è eccessiva sull’integrità ed imparzialità dell’auditor,mentre uno dei principi fondamentali per svolgere un buon audit è la conoscenza deiprocessi sottoposti ad audit da parte dell’auditor che li verifica, ma sullacompetenza degli auditor c’è un capitolo a parte (il settimo).

Riguardo all’indipendenza la norma cita che «Per gli audit interni, gli auditordovrebbero essere indipendenti dai responsabili operativi della funzione sottopostaad audit». Tale aspetto non viene sempre rispettato in molti sistemi di gestionecertificati, con buona pace degli enti di certificazione, sebbene questa norma siesprima in termini condizionali (“dovrebbe”).

Il programma di audit può anche comprendere informazioni e risorse necessarie quali:

obiettivi del programma di audit e dei singoli audit;estensione/numero/tipo/durata/siti/pianificazione temporale degli audit;procedure del programma di audit;criteri di audit;

metodi di audit;selezione dei gruppi di auditrisorse necessarie (inclusi viaggi e alloggi);processi per la gestione della riservatezza, sicurezza delle informazioni,salute e sicurezza sul lavoro e quant’altro necessario.

Il programma di audit normalmente ha un orizzonte temporale di un anno e dovrebbecoprire tutte le aree/processi/unità operative/divisioni comprese nel sistema digestione da sottoporre ad audit. Il diagramma di flusso riportato nella normadefinisce alcuni passi fondamentali:

Definizione degli obiettivi del programma di audit.1.Definizione del programma di audit (ruoli, responsabilità, competenze,2.estensione, ecc.).Attuazione del programma di audit (obiettivi, metodi, assegnazione membri del3.gruppo di audit, registrazioni, ecc.).Monitoraggio del programma di audit.4.Riesame e miglioramento del programma di audit.5.

Nel punto 3 intervengono la competenza degli auditor e lo svolgimento dell’audit,trattati ai capitoli successorio

La norma ISO 19011 descrive in dettaglio i suddetti step; da ciò si comprende che unprogramma di audit non dovrebbe limitarsi ad un elenco di audit per aree o processicon periodi indicativi di svolgimento e definizioni di responsabili del gruppo diaudit. Questo può essere sufficiente per una piccola realtà, mentre per un’aziendapiù grande e strutturata, magari con alcune unità operative distaccate, potrebbeessere consigliabile sviluppare un programma di audit descrittivo, non solamente un“calendario di audit”. Alcuni aspetti dovrebbero essere definiti e trattati piùapprofonditamente, ad esempio gli obiettivi (audit di conformità ad una norma oppurebisogna valutare il raggiungimento di determinati obiettivi di miglioramento?), imetodi (è opportuno pianificare audit a distanza?), l’estensione dei singoli audit,le tecnologie informatiche da impiegare e così via.

Anche i rischi di un programma di audit dovrebbero essere attentamente valutati:dedicare un tempo insufficiente a determinate aree o processi, oppure incaricareauditor non sufficientemente competenti per verificare certi processi, potrebbecomportare uno spreco di risorse oppure una riduzione dell’efficacia degli audit.

Un’attenta programmazione di questa fase può rendere il programma di audit più omeno efficace ed efficiente con conseguente impatto sui costi di tutta l’attività ebenefici che ne derivano.

Anche la fase di attuazione del programma di audit richiede una pianificazioneaccurata di vari aspetti quali obiettivi, campo di applicazione, criteri etempistiche dei singoli audit, nonché comunicazione ai soggetti interessati e

disponibilità delle risorse necessarie per svolgere l’audit.

A volte anche una corretta gestione di aspetti logistici e di comunicazione sia agliauditor, sia ai soggetti auditati, di informazioni di interesse quali i risultati diprecedenti audit, le tecnologie da verificare, informazioni relative alla sicurezza,ecc. possono evitare problemi in fase di svolgimento dell’audit.

La norma raccomanda la corretta gestione dei risultati degli audit e delle relativeregistrazioni (piani e rapporti di audit, rapporti di non conformità, azionicorrettive, ecc.), compresa la dovuta riservatezza delle stesse.

Monitoraggio, riesame e miglioramento del programma di audit sono punti fondamentaliper mantenere efficace ed efficiente il programma di audit anche attraversomodifiche scaturite dai risultati degli audit e da altri ritorni dal campo (ad es.feedback da parte delle persone auditate).

Il capitolo 6 “Svolgimento dell’audit” tratta tutti gli aspetti relativiall’esecuzione degli audit pianificati: dall’avvio dell’attività di audit con lapresa di contatto del responsabile dell’audit con i responsabili delle attivitàauditate, alla preparazione dell’audit con la pianificazione dell’audit e lapredisposizione dei documenti di lavoro (ad es. check-list), fino alla conduzionedell’audit ed alle attività conclusive (emissione e distribuzione del rapporto,chiusura dell’audit ed attività di follow-up).

La fase preparatoria dell’audit è molto importante per evitare poi di avere problemisuccessivamente o di trovarsi a non essere in grado di esaminare tutto ciò che siavrebbe dovuto verificare. Questa fase è spesso svolta con frettolosità dagliorganismi di certificazione che non hanno budget sufficienti per organizzare epreparare al meglio un audit in azienda; molto lavoro è affidato all’auditor che seconosce già l’azienda da precedenti visite riuscirà ad organizzarsi bene, viceversasi potrebbe rischiare di svolgere un audit troppo superficiale.

La predisposizione di un piano di audit che poi si sarà in grado di rispettare puòagevolare i rapporti con il personale sottoposto a verifica, che non avrà scuse senon sarà pronto agli orari stabiliti e non potrà contestare il mancato rispettodegli orari pianificati.

La conduzione dell’audit vero e proprio inizia con la riunione di apertura oriunione iniziale che sostanzialmente non è molto diversa da quella descritta nelleprecedenti versioni della norma. A seconda che si tratti di un audit di parte terzao di parte seconda, piuttosto che un audit interno, potrà variare il formalismo edil tempo dedicato alla riunione di apertura. Anche se in organizzazioni di medio-piccole dimensioni e/o con una certa abitudine agli audit la riunione di aperturapuò risultare superflua è comunque opportuno confermare la programmazione degliorari delle interviste per assicurarsi che tutto si svolga senza intoppi.

Il riesame della documentazione dovrebbe essere previsto in molti audit per valutarela conformità delle regole stabilite ai criteri dell’audit (tipicamente unanormativa di riferimento) prima di valutare se le procedure sono attuate in modoconforme.

Naturalmente in funzione degli esiti di eventuali audit precedenti, delle anomalierilevate e delle azioni correttive intraprese dall’organizzazione auditata, questafase preliminare all’avvio dell’audit vero e proprio sarà più o meno estesa.

La comunicazione fra i membri del gruppo di audit e fra questi e l’organizzazionesoggetta a verifica è molto importante per rivalutare periodicamente l’avanzamentodell’audit e, in caso di necessità, riprogrammare attività anche riassegnandosingoli compiti. La responsabilità principale di quest’attività è ovviamente delresponsabile del team di audit.

Questo aspetto spesso viene mal gestito in alcuni audit di certificazione e così sifinisce per dilungare eccessivamente la verifica o dedicare un tempo insufficientealla verifica di processi importanti.

Se in alcuni casi è il piano di audit ad essere non ben progettato, in altri losvolgimento dell’audit accumula ritardi che il team di audit non cerca direcuperare.

Infatti spesso il piano di audit rispecchia sequenze poco condivisibili (ad es.svolgere la verifica del riesame da parte della direzione all’inizio dell’auditpiuttosto che alla fine quando l’auditor si sarà fatto un’idea migliore delleprestazioni dei processi e dei relativi indicatori) oppure relega processi primarinell’ultimo quarto del tempo di audit, quando potrebbero essersi accumulati ritardisignificativi ed il personale coinvolto potrebbe avere la necessità di usciredall’azienda.

Viceversa anche con un piano ben progettato si possono registrare ritardi notevoliperdendosi in discussioni lunghissime con il personale dell’azienda; soprattuttonella prima parte della mattinata i tempi sono spesso molto allungati fra ritardiiniziali, chiacchere e caffè; come in qualsiasi attività lavorativa del resto.

L’assegnazione di ruoli e responsabilità a guide ed osservatori può riguardaresoprattutto audit di parte terza (di certificazione) nei quali alcuni organismirichiedono esplicitamente che l’audit sia sempre accompagnato in azienda dapersonale incaricato, anche per motivi di sicurezza fisica e di riservatezza.

Il ruolo degli osservatori va confinato nel loro ambito: spesso i consulentidell’azienda rispondono in vece dei responsabili dell’azienda (per colpa un po’dell’uno, un po’ dell’altro) e questo non è consentito dai regolamenti ACCREDIA; inaltri casi gli osservatori in addestramento dell’Organismo di Certificazione sispingono un po’ troppo oltre i propri compiti e partecipano attivamente alla

verifica ponendo domande ed esprimendo giudizi.

Riguardo alla raccolta e verifica delle informazioni, durante l’audit, dovrebberoessere raccolte informazioni verificabili tramite adeguato campionamento. Taliinformazioni, se supportate da evidenza oggettiva, costituiscono delle evidenze(prove) che possono essere valutate in base ai criteri dell’audit e porteranno allerisultanze dell’audit che, opportunamente riesaminate, determineranno le conclusionidell’audit (Conformità o non conformità del processo esaminato).

I metodi di raccolta delle informazioni comprendono interviste, osservazioni eriesame dei documenti, comprese le registrazioni (naturalmente di qualsiasi tipo esu qualsiasi supporto).

Su campionamento e metodi di raccolta delle informazioni la norma richiama i puntiB.3, B.5, B6 e B.7 dell’Appendice B.

Riguardo al campionamento, esso viene distinto in campionamento basato su giudizio ecampionamento statistico. Normalmente viene utilizzato solo quello del primo tipo,mentre il secondo mi sembra francamente impraticabile negli audit dei sistemi digestione, salvo casi particolari nei quali vengono identificati a monte i macro-elementi potenzialmente esaminabili e, quindi, si stabilisce quali verificarenell’audit.

Una buona tecnica utilizzata nella pratica è quella di esaminare un certo numero didocumenti o attività ed approfondire l’esame su altri elementi simili solo se siriscontrano non conformità.

Di fatto negli audit di certificazione il campionamento è scarsamente significativodal punto di vista statistico. Facciamo un esempio: se un’azienda riceve 1000 ordinicliente all’anno e svolge 10 eventi formativi all’anno un campionamento omogeneoprevedrebbe che, a fronte della verifica di 2 registrazionidell’addestramento/formazione (20% del totale), venissero esaminati 200 ordinicliente, cosa che in realtà non avviene mai.

La produzione delle risultanze dell’audit dovrebbe comprendere non conformità,conformità/buone prassi, opportunità di miglioramento e raccomandazioni perl’organizzazione. Le non conformità possono essere classificate in gradi di severitàdifferenti.

La preparazione delle conclusioni dell’audit dovrebbe essere preceduta da unariunione del team di audit per riesaminare tutte le risultanze e concordare leconclusioni dell’audit. Inoltre dovrebbero essere trattate le cause radice delle nonconformità e le azioni conseguenti richieste.

La riunione di chiusura dell’audit ha l’obiettivo di presentare i risultatidell’audit alla direzione dell’organizzazione ed ai responsabili delle

funzioni/processi verificati. In essa dovrebbero essere discussi i rilievi edeventuali divergenze fra il team di audit ed i responsabili dell’organizzazionedovrebbero essere risolte (ed in caso negativo comunque registrate), nonché leazioni da intraprendere post-audit.

Il rapporto di audit dovrebbe comprendere o fare riferimento a:

a) gli obiettivi dell’audit;

b) il campo di applicazione dell’audit, in particolare l’identificazione delleunità organizzative e funzionati o dei processi sottoposti ad audit;

c) l’identificazione del committente dell’audit;

d) l’identificazione del gruppo di audit e dei partecipanti all’audit dellaorganizzazione oggetto dell’audit;

e) le date e i siti dove sono state condotte le attività di audit;

f) i criteri dell’audit;

g) le risultanze dell’audit e le relative evidenze;

h) le conclusioni del l’audit;

i) una dichiarazione sul grado in cui i criteri di audit sono statisoddisfatti.

Il rapporto di audit può anche includere o fare riferimento a:

il piano di audit, compresa la pianificazione temporale;una sintesi del processo di audit (compreso qualsiasi ostacolo incontrato chepuò ridurre l’affidabilità del le conclusioni del l’audit);la conferma che gli obiettivi dell’audit sono stati raggiunti nell’ambito delcampo di applicazione del l’audit, in conformità al piano di audit;qualsiasi area non coperta (sebbene compresa nel campo di applicazionedell’audit);una sintesi delle conclusioni dell’audit e delle principali risultanzedell’audit che le supportano;eventuali opinioni divergenti non risolte tra il gruppo di audit el’organizzazione oggetto dell’audit;le opportunità di miglioramento, se specificate nel piano di audit;le buone prassi identificate;i piani concordati di azioni conseguenti, se presenti;una dichiarazione sulla natura riservata dei contenuti;qualsiasi implicazione per il programma di audit o per gli audit successivi;

la lista di distribuzione del rapporto di audit.

La norma, infine, ricorda che il rapporto di audit può essere sviluppato prima dellariunione di chiusura (cosa che avviene nella maggioranza dei casi).

La distribuzione del rapporto di audit potrebbe essere posticipata e comunquedovrebbe avvenire senza eccessivi ritardi indirizzandolo a coloro i quali eraprevisto nel piano che lo ricevessero.

La chiusura dell’audit avviene al termine di tutte le attività previste. Laconservazione ed eventuale divulgazione dei rapporti dovrebbe avvenire secondoquanto concordato e riportato nelle procedure di riferimento, rispettando il livellodi riservatezza richiesto.

La conduzione di azioni conseguenti all’audit riguarda l’attuazione di correzioni,azioni correttive o preventive e di miglioramento, eventualmente concordate in sededi audit, la cui efficacia potrà essere valutata in un audit successivo.

Il capitolo 7 della norma riguarda la competenza e valutazione degli auditor. Se lacompetenza viene determinata come ormai usuale nelle norme sui sistemi di gestione(istruzione, formazione/addestramento, conoscenze, esperienze, …), la determinazionee valutazione delle competenze di auditor e responsabili di gruppi di audit diventaun’attività molto articolata, descritta nella norma.

Oltre che competente l’auditor deve possedere alcune caratteristiche personali ecomportamentali in linea con i principi dell’audit sopra esposti (comportamentoetico, essere diplomatico, con mentalità aperta, ecc.).

Gli auditor dovrebbero possedere conoscenze ed abilità di carattere generale especifiche per poter operare efficacemente nelle discipline per le quali sonoimpiegati (e vengono, dunque, qualificati), così come descritto nella norma. Tra lecompetenze a carattere generale che ogni auditor dovrebbe possedere ci sonoconoscenze di carattere legale ed economico legate all’ funzionamento delle imprese.

Per il responsabile del gruppo di audit sono richieste capacità aggiuntive e maggioresperienza nella conduzione di audit su sistemi di gestione.

I metodi di valutazione dell’auditor previsti dalla norma sono: riesame delleregistrazioni, informazioni di ritorno dal campo, intervista, osservazioni delcomportamento, esame (orale/scritto), riesame successivo all’audit (rapporto diaudit, interviste con il responsabile del gruppo di audit, ecc.).

Infine la norma si concluse con due utili appendici:

Appendice A: Guida ed esempi illustrativi delle conoscenze e abilità degliauditor specifiche della disciplina.

Appendice B: Guida supplementare destinata agli auditor per la pianificazione ela conduzione di audit.

In conclusione si tratta di una norma di contenuti molto ampi, considerando anche leappendici appena citate. Ne consegue che la preparazione di un auditor che sia ingrado di applicare le ormai note tecniche di audit, per rendere l’audit estremamenteefficace e ad alto valore aggiunto, deve necessariamente comportare, oltre allalettura della norma e di altro materiale didattico correlato, un certo numero di oredi formazione frontale, qualche esercitazione pratica ed un po’ di esperienza sulcampo come osservatore.

La documentazione del sistemaqualità nell’era del web 2.0

Oggi la documentazione del sistema di gestione per la qualitàISO 9001 (o altra certificazione) può essere gestita in modomolto più efficiente che un tempo, grazie soprattutto aglistrumenti informatici per la gestione dei documenti in formatoelettronico ed alle possibilità offerte dalle applicazioni webper la collaborazione tramite internet.

Ogni sistema di gestione (non solo qualità ISO 9001 o ISO/TS 16949, ma ancheambiente ISO 14001, sicurezza OHSAS 18001, sicurezza delle informazioni ISO 27001,responsabilità sociale, ecc.) si basa sulla documentazione di sistema, costituita damanuale, procedure, istruzioni, documenti di consultazione e modulistica diregistrazione. Tali documenti fino al secolo scorso (almeno prima dellapubblicazione della norma UNI EN ISO 9001:2000, la c.d. Vision 2000) venivanoredatti a computer con un wordprocessor (Microsoft Word su tutti) e poi stampati,quindi sottoposti all’iter di approvazione previsto dalla procedura, infinedistribuiti al personale interessato.

Come noto i documenti pertinenti devono essere disponibili sui luoghi di utilizzo,quindi i vari uffici e reparti produttivi. Per adempiere a tale requisito si erasoliti predisporre una lista di distribuzione che riportava tutte lefunzioni/persone interessate alla procedura a cui veniva fisicamente consegnatacopia del documento cartaceo, previa firma della lista di distribuzione. Una primasemplificazione consisteva nel mettere a disposizione “copie comuni” per piùdipendenti che operavano nello stesso ufficio o reparto. La copia originale della

documentazione di sistema rimaneva solitamente custodita dal responsabile qualità,generalmente insieme ad un’altra copia a disposizione dell’Organismo diCertificazione.

Naturalmente ad ogni revisione di una procedura o istruzione o aggiornamento dellevarie liste e documenti di consultazione (ad esempio l’elenco dei fornitoriqualificati), si procedeva a generare un numero di copie del documento uguale aquello previsto nella lista di distribuzione e ridistribuire le nuove versioni,avendo cura di ritirare le vecchie copie per evitare che documenti non più in vigorecircolassero ancora in azienda. Le copie originali non più valide andavano comunqueconservate per un certo lasso di tempo e costituivano il cosiddetto “ArchivioStorico della documentazione”.

Poi c’era il problema dei moduli da compilare: essi venivano stampati in formatocartaceo e quindi compilati manualmente dal personale incaricato e conservati nellediverse istanze come documenti di registrazione.

Con l’avvento e la diffusione dei sistemi informatici e di internet molte cose sonocambiate.

Per la verità non pochi sistemi qualità vengono ancora gestiti nel modo sopradescritto, se non con pochi miglioramenti: le copie cartacee si sono ridotte afavore di versioni elettroniche, molti moduli sono compilati a computer sulla basedi un modello, ecc.. In alcuni casi, invece, si è proceduto a semplificare troppo enon si è garantita l’autenticità dei documenti e delle registrazioni volendo abusaredi registrazioni a computer senza garantire la responsabilità della stessa, il tuttosenza che l’auditor dell’organismo di certificazione abbia di che dissentire. Adesempio un elenco di documenti-file, contenenti manuale e procedure, memorizzato inuna directory denominata “Documenti SGQ” non dà adeguate garanzie del rispetto deirequisiti della norma ISO 9001 se non si è ricorsi ad alcune accortezze.

Oggi, però, gli strumenti messi a disposizione dalla tecnologia sono in grado difornire tutte le garanzie del caso: esistono sistemi di gestione dei documenti ingrado di garantire tutto l’iter di emissione dei documenti, gestire la distribuzionedegli stessi ai rispettivi responsabili, mantenere traccia delle revisionisuccessive e permettere persino la consultazione a chi opera fuori dall’azienda(operatori esterni, consulenti e fornitori). Tra i sistemi di gestione documentalecompleti cito solo un applicativo open source come Alfresco, ma altri prodotticommerciali di buon livello possono garantire il rispetto di tutti i requisitinormativi incrementando notevolmente l’efficienza della funzione qualità ad un costocontenuto.

Le piccole imprese che non vogliono o non possono investire in prodotti a pagamentooltre una determinata cifra hanno comunque a disposizione strumenti gratis o quasiin grado di incrementare notevolmente l’efficienza di tutto il processo di gestionedella documentazione di sistema e rendere la qualità più gradita alle persone che

devono seguire le procedure e che non avranno più l’alibi che «la qualità generasoltanto una grande massa di carta ed appesantisce il lavoro».

Occorre innanzitutto stabilire quale sarà il repository documentale dei documenti disistema, ovvero l’ubicazione o il servizio web nel quale archiviare tutti idocumenti e renderli disponibili al personale. In base a quella che è stata lascelta del tool per la redazione dei documenti (Microsoft Office, OpenOffice oaltro) si può orientare la scelta della piattaforma tecnologica e degli strumenticorrelati.

Il mondo Google, ad esempio, offre la piattaforma Google Drive ove è possibilearchiviare tutti i documenti di sistema e renderli disponibili all’interno ed ancheall’esterno dell’azienda, tramite un account Google gratuito. Inoltre le personeiscritte alle varie aree documentali potranno ricevere un avviso via email tutte levolte che un documento viene aggiornato.

Naturalmente i documenti in formato editabile dovranno essere memorizzati in un’areariservata al responsabile qualità, per evitare modifiche indesiderate, mentre lacondivisione dei documenti dovrà riguardare formati protetti come PDF oppurepermettere solo la lettura di procedure ed istruzioni al personale interessato.

Attraverso un’applicazione client, poi, è possibile sincronizzare le directory sulweb con delle cartelle omologhe memorizzate su un PC in locale.

Anche la gestione della modulistica potrebbe essere migliorata attraverso lacompilazione via web direttamente su Google Drive dei moduli, creati mediantel’applicativo Google specifico.

Sul fronte Microsoft, invece, la soluzione è SkyDrive, area web utilizzabile per lamemorizzazione di documenti che è, tra l’altro, molto capiente se si utilizza laversione Office365 della suite Microsoft. In quest’ultimo caso vengono messi adisposizione ulteriori tool per la gestione collaborativa dei documenti sulloSkyDrive, oltre ad un sito Sharepoint ove poter gestire in modo molto efficace edefficiente tutta la documentazione del sistema qualità.

Entrambe le soluzioni esposte prevedono la gestione della cronologia delle versioni,funzioni di ricerca avanzate e la possibilità di abilitare in modo selettivo gliutenti alle varie cartelle di documenti.

Naturalmente anche altre applicazioni sono in grado di fornire risultati analoghi.

Relativamente all’approvazione dei documenti, ed in generale tutto l’iter direvisione, esso può essere molto semplificato e migliorato dalle funzionalità messea disposizione dai servizi ed applicazioni sopra citate. Per quanto riguarda lasottoscrizione per approvazione dei documenti è possibile garantire adeguatamenteche le versioni dei documenti messi a disposizione siano effettivamente quelle

approvate dal responsabile qualità e dalla direzione attraverso un sistema di firmedigitali (attenzione non intendo “firme scansionate”, ma vere e proprie firmeelettroniche qualificate e valide ad ogni fine di legge).

Un’altra soluzione può essere quella di implementare un sito web apposito per lagestione della documentazione di sistema, con visibilità solo interna ed esternaselezionata. Il sito può essere gestito in modo molto semplice ed efficace construmenti nati per la gestione dei blog, quale ad esempio WordPress. Tale soluzionesi presenta molto utile anche per la gestione delle comunicazioni interne relativeal sistema qualità, ambiente, sicurezza, ecc.. Anzi nel caso di sistemi di gestionedella sicurezza e salute sul lavoro e di sistemi di responsabilità sociale potrebbefungere da utile ausilio nella comunicazione, informazione e formazione delpersonale relativamente al sistema stesso, come peraltro previsto dalle normative diriferimento per tali sistemi di gestione.

Infine il famoso elenco dei documenti validi o documenti controllati può esseregenerato in modo automatico semplicemente consultando le apposite aree web.

Da un punto di vista comunicativo e motivazionale questi sistemi possono apportaregrandi benefici, in primis alla funzione qualità che viene sgravata dall’onere didistribuire la documentazione di sistema, ma anche da tutto il resto del personaleche può essere informato dei cambiamenti al sistema in modo meno invasivo e puòrisparmiare una discreta quantità di tempo nella gestione della propria parte didocumentazione e registrazioni relative. Inoltre la consultazione dei documenti delsistema di gestione è possibile dal proprio PC desktop, notebook ed anche tablet.

Se ben progettato il nuovo modo di gestire i documenti dovrebbe comprendere l’usodell’e-mail per determinate comunicazioni, ma non l’abuso della stessa nelladiffusione di documenti di cui spesso si perde traccia e controllo delle versioni.

In conclusione il compito del responsabile qualità e dei suoi collaboratori puòessere reso più efficiente, oltre che efficace ed anche più piacevole solosfruttando le opportunità rese disponibili dagli strumenti del web 2.0.

Affrontare la crisi economicariducendo i costi

Vorrei riproporre un articolo del marzo 2009 pubblicato sul sitowww.dicrosta.it che, purtroppo continua ad essere drammaticamenteattuale. Ho apportato solo leggeri ritocchi ed aggiornamenti, manella sostanza la situazione conomica-finanziaria delle imprese delnostro Paese non è cambiata di molto, anzi è peggiorata.

In questo periodo la crisi economica globale sta affossando molte imprese e,soprattutto le piccole e medie imprese del settore manifatturiero, si trovano ingrave difficoltà ormai da tempo: la stragrande maggioranza ricorre alla cassaintegrazione, alcune chiudono, altre riducono il personale per quanto possibile.

Al calo drastico degli ordinativi (la riduzione del PIL costante degli ultimi anniha reso la situazione reale di molte piccole aziende ancor più gtave), che in talunicasi è superiore al 30-40% del fatturato medio pre-crisi, le aziende cercano diporre rimedio cercando di ridurre, o meglio di “tagliare”, i costi, spesso in modoindiscriminato e dissennato. Certo la situazione è grave, non c’è certo da essereottimisti per il futuro prossimo (la lieve ripresa, per ora solo prevista per il2014, è troppo lieve per risanare in breve tempo la situazione di numerose imprese),però non bisogna perdere i lumi della ragione, occorre ridurre i costi sì, ma congiudizio, senza far perdere competitività all’azienda depauperandola delle risorsenecessarie alla sopravvivenza.

La stessa corsa dissennata ad accaparrarsi un po’ di cassa integrazione non è unbuon segnale. Se lo Stato aiuta le imprese con questo strumento poi mancherannorisorse economiche per altre forme di assistenza, magari più necessarie (Sanità,Pubblica Istruzione, infrastrutture…).

A mio modo di vedere l’impresa in questo momento dovrebbe sapersi guardare dentro ecercare di ridurre i costi al solo fine di guadagnare efficienza e, piuttosto,cercare di investire in quelle aree che potrebbero in futuro migliorare leprestazioni e l’efficienza dei processi e quindi incrementare la competitivitàquando i mercati cominceranno a riprendersi, anche se di poco. Certamente se non sicrede nella ripresa futura tanto vale “chiudere bottega” oggi piuttosto che “tirarea campare” per poi non avere una struttura adeguatamente competitiva quando gliordinativi inizieranno a tornare, se non quelli di un tempo, almeno decisamentemigliori.Se da un lato la ripresa in Italia è ancora lontana e troppo lenta peressere efficace nel risollevare molete piccole imprese, dall’altro c’è l’opportunitàdel mercato estero dove si sono già riscontrati andamenti positivi di diversiindicatori macroeconomici. Naturtalmente non si può pensare di vivere solamente diexport (poche aziende italiane già lo fanno), ma di sopravvivere in attesa di unavera ripresa in Italia sì. Moltissime realtà, poi, soprattutto nel settore deiservizi, non esportano affatto e non è pensabile che si possano proporre anche solonel mercato della Comunità Europea.

Dunque bisogna analizzare i propri costi e cercare quali sono le voci di costo cheincidono con una percentuale troppo elevata sui ricavi e che, al ridursi drasticodei ricavi stessi, rischiano di incidere maggiormente nei futuri conti economici.Per fare ciò occorrerebbe un sistema di controllo di gestione adeguato all’impresa,che ci fornisse i numeri corretti in tempo utile per prendere i provvedimentinecessari tempestivamente.

La prima cosa da fare è predisporre un conto economico degli ultimi 2 o 3 annidettagliato per le principali voci di costo, suddivise in costi variabili, legati alvariare dei ricavi, e costi fissi o di struttura. Poi, per ogni voce di costo,occorre vedere in che misura incidono sull’ammontare totale dei ricavi e dei costistessi, quindi cercare di intervenire sulle voci di costo più rilevanti. Ciòcomporta suddividere ulteriormente le voci di costo in categorie maggiormentedettagliate, fino – se necessario – arrivare alla singola spesa per una determinatafornitura. Le quote di ammortamento dovrebbero essere le più reali possibili,svincolate dalla normativa fiscale.

Parallelamente bisogna agire sui costi dei prodotti, evidenziando quei prodotti olinee di prodotto, o quei clienti che – al ridursi dei ricavi – vedono ridursi ilmargine di contribuzione fino ad annullarsi.

A questo punto, dotandosi di un adeguato strumento di simulazione (da Excel aisistemi ERP capaci di analisi di business intelligence, a seconda delle dimensionidell’azienda), si inizia a valutare cosa si può eliminare o perlomeno ridurre:

Se elimino un prodotto o una linea di prodotto poco o per nulla remunerativariesco a ridurre conseguentemente in maniera significativa i costi, magarialienando un macchinario costoso ed obsoleto o riducendo il personale di quelreparto?Se cerco di ridurre determinate voci di costo non indispensabili ottengo unbeneficio economico tangibile senza perdere di efficacia e di efficienza?La riduzione del personale di un’area o processo di supporto, giustificata dalcalo di fatturato (e quindi di volumi di fatture attive e passive, ordini afornitori, d.d.t., ecc.), mi porta a recuperare margine di contribuzione?Eliminando i piccoli clienti che mi assorbono risorse in modo significativo afronte di percentuali di fatturato molto ridotte posso aumentare i margini?Ottimizzando gli acquisti, sia core che no-core, posso ridurre i costicomplessivi del prodotto e quelli di struttura?

Inoltre occorre rivedere tutti i processi aziendali, eventualmente riprogettarli,per evidenziare possibili miglioramenti in termini di efficienza e di qualità. Lareingegnerizzazione dei processi, che non si poteva fare quando le cose andavanobene e non c’era tempo, ora che il tempo non manca più dovrebbe essere valutata conattenzione, anche se ciò porterà conseguentemente anche nuovi costi (per consulenze,sistemi informatici, formazione del personale, ricerca e sviluppo, innovazionetecnologica in genere). Paradossalmente in alcune realtà questa considerazione non è

vera perchè la riduzione delle commesse e del fatturato ha portato ad una riduzioneeccessiva di risorse (ricorso esagerato a CIG, licenziamenti, dismissioni, ecc.) ead una produzione con margini molto più ridotti a causa della riduzione smisuratadei prezzi, con conseguenza che le risorse sono più impegnate di prima, anche perchèproducono in modo inefficienze.

Quante attività potrebbero essere svolte con minori risorse (in minor tempo,impiegando meno personale) solo attraverso l’automazione, l’informatica ed unaadeguata formazione del personale? Se si vuole guardare avanti non bisogna ripeteregli errori del passato: quando c’erano buoni guadagni e tutti correvano e nonavevano tempo per cercare di migliorare l’efficienza dei processi non si è sfruttatal’opportunità di incrementare l’efficienza investendo risorse economico-finanziarie(che erano disponibili) e tempo del personale (che era carente). Ora che lasituazione si è invertita (risorse economico-finanziarie scarse con maggiordisponibilità di tempo, ma non per tutti per le considerazioni fatte in precedenza)non possiamo rimandare ulteriormente la riorganizzazione interna se non vogliamoessere penalizzati quando il mercato ripartirà (all’estero è già ripartito). Unpiccolo investimento (in termini percentuali rispetto ad altre voci di bilancio) puòfar ridurre le risorse necessarie per lo svolgimento di varie attività: a voltebasta formare adeguatamente il personale per sfruttare adeguatamente i sistemiinformatici per ottenere piccoli miglioramenti quotidiani che sul lungo periodomigliorano le performance dei processi in modo tangibile.

Certo, senza un sistema di controllo di gestione adeguato o nemmeno una suddivisionedei costi per destinazione, oltre che per natura come richiesto dalla contabilitàgenerale, senza conoscere i costi reali dei prodotti (comprensivi dei costi dilavorazione delle macchine e del personale), senza possedere indicatori adeguati permisurare le performance dei processi, senza sistemi informativi adeguati, senzaprocedure documentate che descrivono processi ed attività, compiti e responsabilità,è dura riorganizzare con cognizione di causa l’azienda; in questo caso bisognarimboccarsi le maniche per recuperare manualmente i dati e le informazionidisponibili. Quindi è opportuno cercare di tenere sotto controllo la situazione infuturo, dotandosi di adeguati strumenti (informatici e gestionali) per riuscire acapire dove si sta andando, ricordandosi che quando le cose vanno bene forsepotrebbero andare meglio se avessimo investito nella ricerca dell’efficienza equando le cose vanno male potrebbero andare peggio se non fossimo stati previdenti etempestivi perseguendo l’efficienza dei processi in tempo utile.

Queste considerazioni sopra esposte avevano una certa valenza all’inizio di unperiodo di crisi economico-finanziaria, ma se errare è umano perseverare èdiabolico. Infatti molte aziende hanno smesso di investire nel loro futuro percercare di migliorare la propria efficienza e la propria competitività ed ora sitrovano in una situazione molto peggiore: hanno cercato di riprendersi una certaquota di mercato solo riducendo i prezzi ed hanno tagliato i costi delle risorse chesarebbero state utili per migliorare l’efficienza dei processi interni. Quindi hannoraggiunto una competitività effimera e temporanea, valida solo per un breve periodo,

perchè non genera margini adeguati a finanziare la ripresa. Queste imprese ora nonhanno neppure più risorse finanziarie per investire nel miglioramento e gli istitutidi credito non sono più disposti a finanziarle oltre un minimo e le politicheattuate hanno demotivato il personale interno ed i fornitori esterni (che magari sisono visti allungare oltre misura i tempi di pagamento). Per loro, forse, serve soloun miracolo.