Virtual Coop: Qualità e Sicurezza
Di cosa si parla quando si parla
di controllo qualità?
Ogniqualvolta qualche conoscente mi chiede che lavoro faccio e io gli rispondo che sono addetto al controllo qualità, quasi sempre la gente, più o meno scherzosamente, mi immagina come una specie di ispettore di igiene intento a controllare minuziosamente (magari con tanto di lente di ingrandimento alla Sherlock Holmes) prodotti e processi produttivi in atto nella mia azienda. In realtà con il termine “gestione della qualità” in ambito aziendale si intende un orizzonte di procedure di controllo molto più ampio e sfaccettato, che varia a seconda del tipo di azienda di cui è oggetto. Se fino a qualche anno fa effettivamente tali azioni riguardavano soprattutto la parte produttiva, oggi il focus principale viene dato all’analisi dei vari processi aziendali, da quelli strategici a quelli amministrativi/documentali, passando per gli aspetti più operativi o di gestione delle risorse umane.
Spesso infatti si fa confusione tra il semplice controllo qualità (ambito specifico destinato per l’appunto al controllo dei prodotti realizzati) e il sistema gestione qualità (SGQ), del quale il primo è parte, che coinvolge tutte le aree e i processi di un’organizzazione.
Prima di tutto bisogna chiarire che all’interno di tale mondo possono ricadere svariate normative e protocolli applicabili a seconda del tipo di azienda, della sua dimensione, della sua attività e e anche della scelta dell’impresa stessa riguardo a quali certificazioni e protocolli seguire e rispettare. Basti pensare ad esempio ad un’azienda che produce prodotti chimici che devono rispettare un certo standard in merito a determinati parametri ambientali piuttosto che all’estremo opposto un’azienda di intrattenimento che offre servizi intangibili…
Un po’ di storia…
Solitamente tutte queste normative e linee guida vengono redatte dall’organizzazione internazionale per la normazione (ISO). Tale ente, fondato nel 1947 e con sede a Ginevra, racchiude 164 organismi nazionali di standardizzazione e deriva il suo nome dal termine greco ἴσος (pronuncia: isos), il cui significato sta per “uguale“, andando proprio a rappresentare lo scopo di tali organismi, cioè la definizione di norme tecniche in svariati ambiti volti alla standardizzazione di regole e procedure.
I settori di intervento di tale organismo spaziano praticamente in ogni campo. Fra le innumerevoli normative indette da tale organismo spiccano quelle relative agli standard ambientali (ISO 14001), alla sicurezza sul lavoro (ISO 45001) o, andando più indietro nel tempo, quelli inerenti la definizione di standard globali riguardo le varie unità di misura.
Nell’ambito della qualità le più note e applicate a livello globale sono le norme della serie 9000, pubblicate per la prima volta nel 1987, le quali definiscono i requisiti per la realizzazione all’interno di un’organizzazione di un sistema di gestione della qualità.
Perché instaurare un SGQ e farsi certificare
Prima di entrare nel dettaglio delle normative, è bene specificare come la scelta di un’azienda di adeguarsi a tali normative comporta costi economici, organizzativi e di tempo non indifferenti, oltre alla “spada di Damocle” dell’ispezione esterna periodica da parte di un ente terzo necessaria per il rilascio/rinnovo della certificazione.
Ma allora perché darsi tanto da fare per una cosa che oltretutto non è obbligatoria per legge?
Beh, prima di tutto non è obbligatoria in generale ma lo è diventata in diversi ambiti specifici, ad esempio per partecipare a determinati bandi di gara indetti dalle pubbliche amministrazioni.
Secondo, offre una sorta di marchio di garanzia sull’operato dell’azienda che fa sì che i clienti (e soprattutto i potenziali clienti…) ” si fidino” maggiormente, avendo quindi l’impresa più possibilità di acquisire lavori e commesse.
Oltre a questi evidenti vantaggi nei confronti degli stakeholders esterni, il rispetto dei protocolli e delle procedure previste da tali linee guida comporta un vantaggio anche in termini di operatività ed efficienza interna aziendale, con conseguente abbassamento dei costi, favorendo un miglioramento continuo delle procedure interne ed una standardizzazione delle attività in tutti i settori dell’impresa attraverso il coinvolgimento di tutto il personale.
ISO 9001
All’interno della “famiglia” ISO 9000 assume particolare rilevanza (anche perché è l’unica per la quale un’azienda può essere certificata) la norma ISO 9001 (il cui ultimo aggiornamento è del 2015), la quale definisce i requisiti del sistema di gestione qualità. Essa si basa sui processi aziendali e ha come scopo ultimo la soddisfazione del cliente attraverso il miglioramento continuo dell’efficacia e dell’efficienza nella realizzazione di prodotti e servizi. Tale normativa è applicabile a qualsiasi organizzazione, indipendentemente da dimensioni, forma giuridica, settore di appartenenza o altro e va ad abbracciare tutte le aree di attività, dalla pianificazione aziendale all’assistenza post vendita.
La ISO 9001 si basa su approccio plan-do-check-act (PDCA), che è poi il principio di funzionamento di tutti gli standard del sistema di gestione della famiglia ISO, il quale prevede 4 fasi:
- pianificare: in questa fase la direzione stabilisce gli obiettivi e la politica aziendale inerente il SGQ dell’organizzazione, i programmi, la suddivisione delle responsabilità e gli indicatori di prestazione
- fare: adattamento dei vari processi produttivi e di servizio secondo i requisiti richiesti dal cliente e da quelli interni definiti nella fase precedente
- controllare: sostanziale verifica che la 2ª fase sia in linea con quanto stabilito nella 1ª
- agire: correzione delle eventuali discrepanze riscontrate nella fase di controllo ed implementazione di azioni volte al miglioramento continuo del SGQ dell’organizzazione
I requisiti e le linee guida generali indicati in tale normativa trovano poi specifica implementazione all’interno del manuale e della politica per la qualità che la singola organizzazione redige e aggiorna periodicamente in base al mutare di fattori interni o esterni all’impresa.
Se gestito correttamente l’adozione di un SGQ basato sulla ISO 9001 comporta per l’impresa, oltre ad una maggiore competitività sul mercato dovuta alla maggiore capacità di soddisfare i propri clienti, i seguenti vantaggi:
- definizione, controllo e miglioramento dei processi aziendali
- contenimento dei costi e degli sprechi
- prevenzione degli errori
- coinvolgimento e formazione di tutto il personale
- minor numero di reclami dei clienti
ISO 27001
Nell’odierno scenario competitivo, caratterizzato dalla globalizzazione dei mercati, uno sviluppo della tecnologia senza precedenti, importanza sempre maggiore a questioni legate alla privacy e alla salvaguardia dell’immagine, le risorse più importanti e ambite dalle organizzazioni paradossalmente non sono più semplicemente quelle economiche, ma piuttosto le informazioni e i dati necessari per ricavarle.
Tutto questo riveste ancora più importanza oggi dove le minacce per la sicurezza delle stesse informazioni sono sempre più concrete, rappresentate dalla perdita di dati, dagli accessi non autorizzati, dai cyberattacchi virus al commercio elettronico, dalla pirateria informatica al disaster recovery.
Ecco perché molte imprese scelgono di implementare, oltre al SGQ cui si accennava prima, anche un sistema di gestione della sicurezza delle informazioni (SGSI).
Con tale accezione non si fa riferimento solamente a tutto ciò che riguarda la privacy, la quale riguarda solo i dati personali e non di business (anche se è vero che la relativa legislazione presenta alcuni aspetti comuni alla sicurezza delle informazioni), ma tutta la mole di informazioni e di dati di vario tipo (amministrativi, contabili, personali, strategici…) presenti all’interno di un’organizzazione, siano essi in formato informatico, cartacei, o anche solo nella… mente… dei suoi membri.
Anche in questo caso lo standard di riferimento per le aziende che vogliono certificare a livello internazionale il proprio SGSI è una norma ISO, la 27001, stilata per la prima volta nel 2005 e aggiornata nel 2013.
Come la 9001 per il SGQ, la 27001 definisce i requisiti essenziali per implementare e gestire un SGSI ed è applicabile nelle imprese operanti nella gran parte dei servizi commerciali e industriali.
Lo standard ISO 27001 presenta diversi punti in comune con quello 9001, basandosi anch’esso sull’approccio per processi e sul modello PDCA, oltre all’utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, tutto in un’ottica di miglioramento continuo. Si differenzia però da quest’ultimo in quanto segue un approccio basato sulla gestione del rischio, soprattutto nella fase di pianificazione. In particolare vengono valutati aspetti come la politica e l’organizzazione per la sicurezza dei beni e delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti relativi alla sicurezza delle informazioni. L’organizzazione può escludere, motivandolo, alcuni controlli previsti dalla 27001 non applicabili all’interno del suo SGSI. Per esempio un’organizzazione che non attua al suo interno ‘commercio elettronico’ può dichiarare non applicabili i controlli che si riferiscono appunto all’e-commerce.
Lo scopo principale dell’adozione dello standard 27001 (e quindi dell’implementazione di un SGSI) è la protezione delle Informazioni presenti all’interno dell’organizzazione, cioè garantirne la:
- Riservatezza: protezione delle informazioni da accessi non autorizzati
- Integrità: accuratezza e la completezza delle Informazioni
- Accessibilità: disponibilità di dati e informazioni quando richiesto
in concreto, l’adozione delle best practices previste dalla 27001 comporta per l’organizzazione vantaggi di vario tipo come:
- rafforzare le interfunzionalità della sicurezza delle informazioni e la fiducia dei propri partner commerciali;
- integrare la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’organizzazione;
- soddisfare le richieste degli stakeholders (azionisti, legislatore, clienti, personale, amministrazione e comunità) dimostrando di affrontare e gestire il rischio, garantendo la sostenibilità del business;
- ridurre gli incidenti che comportano responsabilità legali e contrattuali;
- migliorare le relazioni con la Pubblica Amministrazione;
- assicurare la protezione di segreti commerciali e del know-how aziendale.
Il sistema di gestione integrato di Virtual Coop
Nel caso di Virtual Coop, azienda che offre servizi di tipo informatico, la direzione della cooperativa ha scelto ormai quasi 10 anni fa di adeguarsi e certificarsi secondo la norma ISO 9001 e, da alcuni anni, stante l’aumento del giro d’affari e della conseguente mole di dati presenti in azienda, anche secondo la 27001.
Al fine di razionalizzare risorse, costi e compiti inerenti il rispetto delle 2 normative, Virtual Coop ha deciso ormai tre anni fa di imbastire un sistema di gestione integrato, dove alcune parti del sistema sono univoche per 9001 e 27001, oltre ovviamente ad altre specifiche per i due standard.
Anche il processo di certificazione è integrato, nel senso che il medesimo ente terzo di certificazione periodicamente provvede ai controlli inerenti entrate le normative e al rilascio/rinnovo di entrambe le certificazioni.
A titolo esemplificativo e non esaustivo, alcune delle applicazioni pratiche comuni alle due normative che rientrano quindi nel sistema di gestione integrato di Virtual Coop sono:
- analisi del contesto interno ed esterno
- analisi delle necessità degli stakeholders
- definizione e gestione di alcune procedure aziendali che presentano aspetti gestionali riguardanti sia la qualità che la sicurezza delle informazioni (approvvigionamenti e valutazione dei fornitori, progettazione, risorse umane, gestione delle non conformità e della documentazione inerente audit interni e riesami, comunicazione, etc.)
Ovviamente il sistema comprende poi le parti specifiche della 9001, quali…
- manuale e politica interna della qualità
- parametri di monitoraggio della qualità
- procedure specifiche come produzione, gestione e soddisfazione clienti
- elementi di controllo di gestione dell’attività aziendale
…e altrettanto per la 27001…
- predisposizione ed aggiornamento del documento di valutazione dei rischi per la sicurezza delle informazioni (DVRSI) e della dichiarazione di applicabilità (SOA)
- manuale e politiche specifiche per la sicurezza delle informazioni
- definizione di procedure specifiche inerenti la sicurezza delle informazioni, come quelle inerenti la gestione dei supporti cartacei o informatici, il controllo degli accessi alla sede e la gestione delle emergenze
- definizione di un organigramma specifico per il SGSI e conseguente nomina del responsabile del SGSI e degli amministratori di sistema, nonché del personale autorizzato al trattamento dei dati
Ovviamente tutti gli elementi e le procedure sopra descritti facenti parte del nostro sistema di gestione integrato sono continuamente soggette a revisioni, modifiche ed integrazioni, volte al miglioramento continuo dell’efficienza ed efficacia aziendali, al rispetto delle normative e linee guida vigenti e soprattutto alla volontà di andare sempre più incontro alle esigenze e alle richieste dei nostri clienti e stakeholders.
Per concludere, una delle peculiarità e, consentitecelo, vanti del nostro sistema integrato della qualità e sicurezza delle informazioni è la possibilità di archiviare e gestire tutta la documentazione informatica ad esso relativa, oltre che nelle cartelle presenti sui nostri server, su una piattaforma web open source da noi stessi creata, il GAD (Gestione ed Archiviazione Documentale).
Tale piattaforma (che fa parte dei prodotti/servizi web proposti ai nostri clienti, anche perché si tratta di un applicativo altamente personalizzabile e facile da usare) consente a tutti i dipendenti dell’organizzazione l’accesso e la consultazione di tutta la documentazione aziendale inerente il sistema qualità ed al solo personale autorizzato la relativa modifica/integrazione.
Giacomo Fantuzzi