AICQ_cover_lug-ago_Cover AICQ 14/09/11 13:56 Pagina I Numero 4/2011 Luglio/Agosto Poste Italiane s.p.a. – Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L.27/02/2004 n°46) art.1 comma 1 – DCB Milano - Contiene I.P. IL MESTIERE DEL VALUTATORE RISCHI NELLE ULTIME ISO 9001 ED EN 9100 NELLA CERTIFICAZIONE DEL PERSONALE NEI PROCESSI PRODUTTIVI RISCHI ATTRIBUIBILI ALLE PERSONE AICQ_cover_lug-ago_Cover AICQ 14/09/11 13:56 Pagina II AICQ_4.qxd:AICQ_ 18-07-2011 14:44 Pagina 1 Associazione Italiana Cultura Qualità FEDERAZIONE NAZIONALE SETTORI TECNOLOGICI 20124 Milano - via Cornalia, 19 tel. 02 66712484 - fax 02 66712510 [email protected] - http://www.aicq.it Presidente: Vincenzo Mazzaro Vicepresidenti: Marco Gentilini, Giovanni Mattana Assemblea: Giovanni Romano; Federica Galleano; Santo Paternò; Antonio Lanzotti; Ettore La Volpe; Franco Drusiani; Marco Gentilini; Alberto Bobbo; Giovanni Mattana Giunta esecutiva: Giovanni Romano; Alessandro Manzoni; Giovanni Mattana; Marco Gentilini; Walter Piacentini; Santo Paternò; Ettore La Volpe; Alberto Bobbo Segretario Generale: Giacomo Casarino Segreteria Nazionale: Annalisa Rossi Settore Alimentare c/o Associazione Italia Centronord Presidente: Claudio Mariani Settore Autoveicoli c/o Associazione Piemontese Presidente: Federico Rivolo Settore Costruzioni Civili c/o Associazione Centro Insulare Presidente: Antonino Santonocito Settore Elettronico ed Elettrotecnico c/o Associazione Italia Centronord Presidente: Giovanni Mattana Settore Servizi per i Trasporti c/o Associazione Centro Insulare Presidente: Sergio Bini Settore Turismo c/o Associazione Piemontese Presidente: Caterina Fioritti Settore Trasporto su Rotaia c/o AICQ Nazionale Presidente: Gianfranco Saccione Settore Scuola c/o Associazione Italia Centronord Presidente: Paolo Senni Guidotti Magnani ASSOCIAZIONI TERRITORIALI DELLA FEDERAZIONE AICQ - Associazione Italia Centronord 20124 Milano - via M. Macchi, 42 - tel. 02 67382158 fax 02 67382177 - [email protected] Presidente: Giovanni Romano AICQ - Associazione Piemontese 10128 Torino - via Genovesi, 19 - tel.011 5183220 fax 011 537964 - [email protected] Presidente: Federica Galleano AICQ - Associazione Tosco Ligure c/o CIPAT Via dei Pilastri n°1/3 50121 Firenze Tel. e fax 055 481524 Presidente: Ettore La Volpe AICQ - Associazione Triveneta 30174 Mestre (VE) - Galleria Giacomuzzi, 6 tel. 041 951795 fax 041 940648 - [email protected] Presidente: Alberto Bobbo AICQ - Associazione Emilia Romagna 40129 Bologna - via Bassanelli, 9/11 tel. 3355745309 - fax 051 0544854 - [email protected] Presidente: Franco Drusiani AICQ - Associazione Centro Insulare 00185 Roma - via di San Vito, 17 - tel. 06 4464132 fax 06 4464145 - [email protected] Presidente: Marco Gentilini AICQ - Associazione Meridionale 80125 Napoli - via Giulio Cesare, 101 - tel. 081 2396503 fax 081 6174615 - [email protected] Presidente: Antonio Lanzotti AICQ - Associazione Sicilia 90139 Palermo - via F. Crispi 120, c/o Ordine degli Ingegneri della Provincia di Palermo cell. 334. 95 49 274 - fax 091 9889355 [email protected] Presidente: Santo Paternò COMITATI TECNICI Comitato Ambiente c/o Associazione Italia Centronord Presidente: Antonio Scipioni Comitato Salute e Sicurezza c/o Associazione Nazionale Coordinatore: Diego Cerra Comitato Metodi Statistici c/o Associazione Nazionale Presidente: Egidio Cascini Comitato Metodologie di Assicurazione della Qualità c/o Associazione Centro Insulare Presidente: Francesco Carrozzini Comitato Normativa e Certificazione dei Sistemi Gestione Qualità c/o Associazione Nazionale Presidente: Cecilia de Palma Comitato Qualità del Software e dei servizi IT c/o Associazione Italia Centronord Presidente: Mario Cislaghi Comitato Risorse Umane e Qualità del Lavoro c/o Associazione Triveneta Presidente: Piero Dettin Comitato Aziende Benchmarking/TQM AICQ_4.qxd:AICQ_ 18-07-2011 14:44 Pagina 2 2 sommario Numero 4/2011 Luglio/Agosto IL MESTIERE DEL VALUTATORE Poste Italiane s.p.a. – Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L.27/02/2004 n°46) art.1 comma 1 – DCB Milano - Contiene I.P. ACCREDIA RUOLO NEL SETTORE COSTRUZIONI AUDIT SUGLI APPALTATORI DELLA COMPONENTE RELAZIONALE LA BUSINESS CONTINUITY RISCHI NELLE ULTIME ISO 9001 ED EN 9100 NELLA CERTIFICAZIONE DEL PERSONALE NEI PROCESSI PRODUTTIVI RISCHI ATTRIBUIBILI ALLE PERSONE tema 2 editoriale La gestione dei rischi sta crescendo in pervasività Rischi Il risk management 3 29 Domenico Faraglia Giovanni Mattana Rischi nella certificazione delle persone Attualità SIACEN 4 L’analisi del rischio nei processi produttivi Redazione Aicq-Angq tema 1 34 Ettore Stanghellini 37 E. Bernasconi, G. Petronella, B. Lazzerini Il Mestiere del Valutatore Rischio attribuibile alle risorse umane Il ruolo di Accredia nel settore delle costruzioni 43 Francesco Soro 11 Filippo Trifiletti Qualità ha 40 anni 45 Massimo Guidarelli Rubrica IMQ 47 Gli approcci relazionali alla valutazione degli auditor 20 Rubrica Rina 50 Rubrica Anfia 52 Audit integrati: l’esperienza di Italferr (1ª parte) 14 Mori Pieraldo, Gallo Giorgio Business Continuity 24 Claudio Provetti, Claudia Piccolo Si ringraziano tutti coloro che hanno contribuito e in particolare il Comitato Normazione dei Sistemi di Gestione e il suo Presidente Cecilia de Palma n. 4 luglio/agosto 2011 Edizione Nazionale AICQ Autorizzazione del Trib. di Torino n. 783 del Registro del 28/11/52 ISSN 2037-4186 Direttore responsabile Giovanni Mattana Redazione Annalisa Rossi Comitato editoriale e di supporto Composto da: Giovanni Mattana (coordinatore), Presidente AICQ, Sergio Bini, Claudio Rosso, Pietro Fedele, Egidio Cascini, Mario Cislaghi, Cecilia de Palma, Piero Dettin, Italo Benedini. Editore Mediavalue srl Via Domenichino, 19 - 20149 Milano tel. +39 0289459724 - fax +39 0289459753 www.mediavalue.it - [email protected] Redazione, grafica, impaginazione [email protected] Abbonamenti [email protected] Segreteria di redazione AICQ - via Cornalia, 19 20124 Milano Tel. 02 66712484 Fax 02 66712510 [email protected] Pubblicità [email protected] Stampa Arti Grafiche Frattini - Bernate Ticino (MI) Gli articoli di questo numero, pur ritenuti validi dagli editori per il loro contenuto, vengono pubblicati sotto la responsabilità degli Autori. In conformità a quanto previsto dal D.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali) e fatti salvi i diritti dell’interessato ex art. 7 del suddetto decreto, l’invio di Qualità autorizza AICQ stessa al trattamento dei dati personali ai fini della spedizione di questa pubblicazione. Diritti riservati - Pubblicità inferiore 50% Distribuzione: La rivista - bimestrale - è stampata in 8.000 copie a numero e ha distribuzione nazionale. Viene inviata a tutti i Soci AICQ in abbonamento postale, e ai responsabili qualità delle aziende. Spedizione in abbonamento postale - DL 353/2003 (conv. in L. 27/2/2004 n. 46) art. 1 comma 1 - DCB Milano. Prezzi di vendita per l’Italia: una copia € 5,00, copia arretrata € 10,00, abbonamento annuo (6 numeri) € 50,00; (12 numeri) € 95,00. Per l’estero: una copia € 15,00. Il pagamento può essere effettuato tramite bonifico sul c/c bancario: IBAN IT33N0569634070000002372X67 intestato a Mediavalue srl AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 3 3 Giovanni Mattana sta crescendo in pervasività La gestione dei rischi poteva essere considerata, fino a non molto tempo fa, una tecnica specifica, utilizzata in ambito finanziario/assicurativo o nelle grandi opere; numerose circostanze, a partire dalla turbolenza dei mercati e dall’accelerazione delle decisioni e delle attività, hanno contribuito ad accrescerne considerevolmente l’importanza: è possibile citare l’oggettivo aumento generale del livello di rischio (oggi lo sbagliare ha un costo molto più alto di ieri e spesso non c’è più il tempo di recuperare), ma anche la maggior interazione sistemica tra i rischi, che obbliga a considerarli nel loro assieme e nelle loro interdipendenze, anziché, come in passato, in segmenti specialistici indipendenti. Anche l'evoluzione della normativa comunitaria e nazionale impone, in vari casi, di mettere in atto una gestione dei rischi: cioè il loro esame preventivo, l’adozione di strategie e tecniche per la loro mitigazione, la raccolta di evidenze delle azioni intraprese in tutte le fasi. Ne sono vistosi esempi la legislazione sui rischi contenuta nel d.lgs. 231/2001 (che estende alle persone giuridiche la responsabilità per reati commessi da persone fisiche che operano per una società), e quella sulla sicurezza del lavoro o anche l’attuale enorme attenzione rivolta al rischio clinico. L’uscita delle Norme generali internazionali sul Rischio: ISO 31000 “Principi e linee guida di attuazione", ISO Guide 73: 2009 “Vocabolary”, e ISO-IEC 31010- “Risk Assessment Techniques”, hanno fornito una trattazione coerente e sistematica che ne ha certamente favorito la pratica applicazione e la diffusione dei concetti. Secondo la norma il processo di gestione del rischio è costituito da alcune macro fasi: Stabilire il contesto, Identificare i rischi, Analizzare i rischi, valutare i rischi, Mitigare i rischi, ciascuna poi articolata in attività più specifiche. La gestione dei rischi può essere considerata un paradigma (nella sua accezione di idee e tecniche sufficientemente nuove da attrarre seguaci e sufficientemente aperte da risolvere problemi in ambiti diversi da quello originario), che porta a fattor comune molti aspetti provenienti da campi diversi e che sta diventando molto pervasiva. Ma, forse, la portata di questa estensione non è ancora sufficientemente percepita. Per questa ragione, in questo numero della rivista, proponiamo alcuni articoli che mostrano diverse applicazioni della gestione del rischio: - nei sistemi di Qualità Iso 9001:2008 e nella EN 9100:2009 per l’industria aeronautica, dello spazio e della difesa; l’articolo mostra come la EN 9100 contenga vari requisiti riferiti esplicitamente al rischio e come anche la Iso 9001 abbia ora una decina di requisiti indirettamente riferiti al rischio (D. Faraglia); - nella stessa gestione degli organismi di certificazione del personale, in cui l’autore si chiede se l’attenzione attualmente dedicata ai rischi per la certificazione è adeguata e se vengono adeguatamente valutate le reali minacce che rischiano di compromettere la credibilità delle certificazioni del personale e delle certificazioni di sistema, in larga parte affidate alla competenza del personale che li valuta (E. Stanghellini); - nei processi produttivi; gli autori sostengono che l’applicazione del Risk Management alla loro gestione assume quell’innegabile ruolo fondamentale che gli addetti ai lavori gli attribuiscono, basando su di esso le motivazioni del maggior numero di decisioni possibili con la stessa confidenza con cui i naufraghi si mantengono stretti alle corde dei loro salvagenti nel mare in tempesta (E. Bernasconi – G. Petronella, B. Lazzerini); - da Risorse Umane: è il rischio aziendale il vero driver dell’analisi aziendale e del miglioramento. Aspetto centrale della gestione del rischio aziendale è costituita dalle risorse umane (F. Soro). Altri vostri contributi saranno particolarmente graditi. Per intanto buona lettura www.aicq.it luglio/agosto 2011 ed i to r i a l e La gestione dei rischi AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 4 4 ❙ Attualità ❙ a tt u al i t à >> Comitato di Redazione congiunto ANGQ e AICQ Il Congresso SiACeN rilancia l’incontro culturale tra tutti gli operatori dell’Accreditamento, delle Certificazioni e delle Notifiche Nei giorni 18,19 e 20 maggio si è tenuto a Roma presso il Centro congressuale dell’hotel MELIA’ Aurelia Antica il primo Congresso nazionale sui Sistemi di Gestione, Accreditamenti, Certificazioni, Notifiche, in sigla SiACeN, organizzato da Associazione Nazionale Garanzia della Qualità (ANGQ) e da Associazione Italiana Cultura della Qualità (AICQ ). L’importanza dell’evento è riconoscibile già dall’alto numero di patrocini ricevuti da Istituzioni e Organizzazioni di rilievo nazionale, quali: Ministero dello Sviluppo Economico; Comitato per l’Ecolabel e l’Ecoaudit del Ministero dell’Ambiente; ACCREDIA – Ente Italiano di Accreditamento; CNR – Consiglio Nazionale delle Ricerche; Confindustria Servizi Innovativi e Tecnologici; ENEA – Agenzia nazionale per le nuove tecno- luglio/agosto 2011 logie, l’energia e lo sviluppo economico sostenibile; GSE – Gestore servizi energetici; ICE – Istituto per il Commercio Estero; CEI – Comitato Elettrotecnico Italiano; UNI – Ente Nazionale Italiano di Unificazione; AIOICI - Associazione Italiana Organismi Indipendenti Certificazione e Ispezione; ALPI - Associazione Laboratori di Prova e Organismi di Certificazione Indipendenti; CISQ - Certificazione Italiana dei Sistemi Qualità Aziendali; UNOA – Unione Nazionale Organismi Accreditati; CEPAS – Certificazione delle Professionalità e della Formazione; AICQ SICEV – Sistema di Certificazione e Valutazione; Associazione sindacale ANPO-ASCOTI-FILAS MEDICI. Dopo molti anni ANGQ ed AICQ, associazioni che promuovono la formazione dei professionisti e dei quadri aziendali impegnati nei sistemi di gestione aziendale, sono tornate a collaborare per un’iniziativa che può ritenersi unica per l’aggregazione di tutti gli organismi istituzionali coinvolti e per l’articolazione dei temi trattati. Per la prima volta infatti è stato possibile abbinare nella stessa occasione l’illustrazione delle politiche e dei punti di vista degli operatori istituzionali con l’aggiornamento professionale sulla materia; inoltre il Congresso ha ospitato le sessioni di aggiornamento riservate agli Ispettori di ACCREDIA ed agli Auditor CEPAS ed AICQ SICEV. Di seguito indichiamo i risultati, in nu- meri, scaturiti dall’impegno di oltre un anno di lavoro da parte degli organizzatori e grazie anche al contributo delle numerose organizzazioni che sono intervenute all’evento: più di 160.000 i contatti; più di 1.400 i partecipanti; più di 160 gli interventi dei relatori; più di 100 le Organizzazioni coinvolte; più di 80 le ore di riunione in aula e dibattito; 21 le sessioni tra plenarie e convegni, dove sono state trattate numerosissime tematiche e altrettanti sono stati gli spunti di riflessione, segue l’elenco di tali sessioni: ✎ Plenaria Accreditamenti volontari, re- golamentati-cogenti e le relative Notifiche dopo l’entrata in vigore del Regolamento europeo 765/2008; ✎ Plenaria Qualificazione/Certificazione delle Professioni non Regolamentate; ✎ Plenaria Sensibilizzazione della Scuola e dell'Università alle metodologie dei sistemi di gestione per la qualità: studenti, docenti, dirigenti scolastici; ✎ Convegno Integrazione dei Sistemi di Gestione; ✎ Convegno Ambiente, Sostenibilità e Gestione dell’Energia; ✎ Convegno Il ruolo dei Sei Sigma nella Qualità; ✎ Convegno Open Source e l’Amministrazione digitale; ✎ Convegno Problematiche e prospettive nel Settore Alimentare; ✎ Convegno Qualità nella Sanità; ✎ Convegno Laboratori oggetto di re- www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 5 5 ❙ Attualità ❙ www.aicq.it una qualche “colpa” della qualità? No; è l'esatto contrario: dove la risorsa “qualità” non è sufficiente o, peggio, dove e quando la risorsa “qualità” è usata o citata in maniera mistificatoria, c'è lo scadimento dei sistemi, compresi - a pieno titolo - quelli a più grande impatto sul vivere civile. Riportiamo ora, tra i tanti possibili, un esempio di insufficiente - secondo noi - ricorso al pensiero sistemico-qualitativo: la sicurezza stradale. Citiamo questo esempio perché il contenimento del rischio su strada fu tra i temi affrontati da ANGQ in occasione del proprio Convegno Nazionale annuale già nell'ormai lontano 2005. Nell'ambito “sicurezza stradale” continuiamo a notare un progressivo inseverimento del sistema sanzionatorio e non notiamo un altrettanto deciso ricorso ai sistemi a sicurezza attiva, tendenti alla sicurezza instrinseca. La loro fattibilità tecnica è ormai fuori di dubbio. La spinta culturale che delegittimi quella che può sembrare una vera e propria “industria delle contravvenzioni” e sostenga il progresso tecnologico però manca, anche da parte degli “addetti ai lavori” (non è punendo dopo che l'evento indesiderato ha avuto luogo che si fa sicurezza, ma è interrompendo a priori la catena degli eventi che porta alla tragedia finale che si salvano le vite umane). Oltre alle prioritarie considerazioni di ordine etico, si possono fare almeno due considerazioni di ordine economico: 1) la produzione su larga scala di apparecchiature per la sicurezza attiva comporterebbe opportunità di lavoro e creazione di ricchezza; 2) se costi più fare sicurezza o subire incidenti lo sintetizziamo con una frase ben diffusa in ambiente aeronautico: “if you think that safety is expensive, try an accident”. Per un uso esteso, efficace e non mistificatorio della disciplina “qualità”, ANGQ e AICQ si sono impegnate fin dalle loro origini. Il Congresso SiACeN viene proprio a fornire certezze in un momento in cui più evidente è il fabbisogno di qualità per determinate aree e più chiaro emerge il bisogno di ripresa e sviluppo di questa risorsa per quei settori che maggiormente ne necessitano. A proposito del vasto campo di applicazione della qualità, non dovremmo dimenticare che W. Edwards Deming, al titolo del suo ben noto libro “The New Economics”, aggiunse, come sottotitolo: “for industry, government, education”. Ecco dunque per noi l'indicazione di tutto un ampio spazio ed un'esortazione a farvi giungere il nostro apporto. Un'ultima riflessione sul prodotto delle nostre attività, ampiamente illustrato nel Congresso: anche normazione, accreditamenti, certificazioni e notifiche dovranno essere sempre “sostenibili” e non “pesare troppo”: il lean thinking è una risorsa per tutti. Dr. Rosso Claudio – Ing. Giulio Montebelli Coordinatori Congresso Siacen. luglio/agosto 2011 at tu a l i tà Congresso SiACeN 2011, basi solide per un futuro migliore I numeri parlano da soli e decretano, senza ombra di dubbio, il successo del 1° Congresso SiACeN tenuto a Roma nei giorni 18; 19 e 20 Maggio 2011. La partecipazione ha assicurato una copertura ad ampio spettro degli aspetti al momento più significativi nell'ambito della gestione della qualità e della certificazione della conformità. Tra i segnali più confortanti - e che dimostrano come la qualità stia sempre più evolvendo da complesso di strumenti per pochi addetti a patrimonio culturale comune - abbiamo notato con particolare soddisfazione l'estendersi, con successo, dell'applicazione di questa disciplina a settori come la scuola, l'università, la sanità e le diverse pratiche manageriali in senso lato. Sempre a proposito di questi segnali, non ci è sfuggita la presenza di relatori e partecipanti di tutte le età: dai senior che hanno portato il frutto della loro lunga esperienza, agli junior che si sono distinti per il loro entusiasmo e per l' originalità degli interventi e dei contribuiti presentati. Nessuno spazio rimane quindi a chi vorrebbe definire le discipline qualitative e le risorse “accreditamento-certificazione-notifica” come materia riciclata a beneficio di reduci dal sogno nucleare degli anni '80 e da una grande industria abbondantemente in crisi. Fatta questa premessa - e debitamente festeggiato il successo - viene il momento di soffermarsi su cosa costruire e come costruire su tanto solide fondamenta. Libero mercato, libera circolazione delle risorse materiali, immateriali ed umane, sicurezza e competitività, ambiente, efficacia ed efficienza sono parole che si sono sentite ripetutamente. Possiamo quindi dire che si sa cosa c'è da fare e, in molti casi, le norme sono già lì a guidarci su come ciò che è da fare va fatto. A questo punto però, non possiamo fare a meno di notare come, a fronte di tanta conoscenza che cresce in termini di contenuti e di diffusione, a fronte di strumenti che si perfezionano continuamente, la qualità della vita sia generalmente in calo. Il tenore di vita di gran parte delle famiglie è sceso e continua a scendere, le speranze, non diciamo di ottenere il pieno successo, ma almeno di allontanare lo spettro della disoccupazione e della sottoccupazione per i giovani, soprattutto in presenza di elevati livelli di istruzione, sono generalmente basse. Di come stiano ricerca ed innovazione si è parlato abbastanza, quindi non stiamo a ripetere cose – purtroppo – ben note. Anche la libertà del cittadino, per non parlare dei suoi spazi di legittima assertività, sembra stia passando di moda, soffocati come siamo da una comunicazione, spesso ambigua e dissimulatrice, che prepara un terreno favorevole alla passiva accettazione di ciò che, solo non troppi anni fà, sarebbe stato energicamente rifiutato. Se ne accenniamo qui è forse perché sospettiamo che ci sia AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 6 a tt u al i t à 6 ❙ Attualità ❙ quisiti cogenti: problematiche ed opportunità; ✎ Convegno Regolamento del codice degli appalti: gli aspetti inerenti la progettazione, la realizzazione, la gestione e la manutenzione; ✎ Convegno Qualità e Sicurezza nella Logistica e nei Trasporti - Obblighi di legge e normativa volontaria; ✎ Convegno Sistema di Gestione della Sicurezza sul Lavoro: efficacia prevenzionale, certificazione, collegamenti con l’art.30 del D.lgs. 81/08 e con il D.lgs. 231/01; ✎ Convegno Tematiche emergenti nel settore ICT: competenze e risorse umane; ✎ Convegno Eccellenza nel pubblico e nel privato: modelli e premi; percorsi ed esperienze; ✎ Convegno La mediazione dei conflitti nelle pmi: Qualità di relazioni e qualità di gestione; ✎ Convegno Qualità nel turismo per 1 Turismo di Qualità; ✎ Convegno Quality & Business Management Systems: scenari e nuovi modelli di business sostenibile. Plenaria di apertura del 18 maggio: “Accreditamenti volontari, regolamentaticogenti e le relative Notifiche dopo l'entrata in vigore del Regolamento Europeo 765/2008” La Plenaria di apertura del Congresso ha affrontato il tema del nuovo sistema di accreditamento e certificazione dopo l’entrata in vigore del Regolamento europeo 765/2008, il quale, seppur emesso in ottica di semplificazione del sistema di certificazioni, sta creando in Italia ulteriori incertezze con particolare riferimento al mantenimento delle notifiche e dei relativi marchi CE. L’intento della Plenaria è stato quello di fare chiarezza sulle politiche e sulle procedure definite riguardo l’accreditamento degli Organismi Notificati nei vari settori: si è ritenuto possibile arrivare a questo risultato solo mostrando nel Congresso SIACEN i risultati ottenuti dal dialogo luglio/agosto 2011 continuo e proficuo tra ACCREDIA e i Ministeri competenti. Sul tavolo della Plenaria sono state poste le soluzioni definite e le prospettive delineate sul sistema di certificazioni italiano, fornendo a tutti gli intervenuti risposte chiare riguardo sia lo stato attuale dei riconoscimenti europei sia problematiche specifiche relative a singoli soggetti operanti sul mercato. Plenaria del 19 maggio: “Qualifica/Certificazione delle Professioni non Regolamentate” La Plenaria ha offerto ai congressisti un panorama su un tema di grande interesse ed attualità: l’ introduzione di un sistema duale sull’organizzazione delle libere professioni. Alle iscrizioni agli Ordini professionali a seguito di abilitazioni, un nuovo disegno di legge abbina la certificazione riconosciuta dalle Associazioni di categoria autorizzate ad attestare il possesso ed il mantenimento delle competenze tramite esami di verifica periodica ai quali possono sottoporsi tutte le categorie di professionisti erogatori di servizi sinora non regolamentate. Come sottolineato anche dai parlamentari intervenuti, la legge garantirà il riconoscimento delle professioni e la possibilità per quest’ultime di applicare condizioni di concorrenza sui mercati europei. Plenaria del 20 maggio: “Plenaria Sensibilizzazione della Scuola e dell'Università alle metodologie dei sistemi di gestione per la qualità: studenti, docenti, dirigenti scolastici” L’impostazione concordata dalla collaborazione tra AICQ Settore Nazionale Education ed ANGQ, che aveva previsto un intreccio a più piani fra base teorica della Qualità e esperienze sul campo da una parte e fra scuola, Università e educazione permanente dall’altra, si è attuata intrattenendo i partecipanti con una notevole intensità comunicativa e di ascolto. I numeri del Convegno L'iniziativa, che può ritenersi unica per l’aggregazione di tutte le Organizzazioni coinvolte e per l’articolazione dei temi trattati, è stata un successo e ha ricevuto gli elogi dei numerosi partecipanti e delle Organizzazioni intervenute. Di seguito i numeri rappresentativi del Congresso: ✎ più di 160.000 i contatti; ✎ più di 1.400 i partecipanti; ✎ più di 160 gli interventi dei relatori; ✎ più di 100 le Organizzazioni coinvolte; ✎ più di 80 le ore di riunione in aula e dibattito; ✎ 21 le sessioni tra plenarie e convegni; ✎ 3 i giorni di Congresso; ✎ Numerosissime le tematiche trattate e gli spunti di riflessione. Estratti dal Convegno “Problematiche e prospettive nel Settore Alimentare” (18 maggio) Da sempre il settore alimentare è uno fra i più normati dalle legislazioni degli Stati e dall’Unione Europea ed è quello che vede intervenire una pluralità di soggetti nelle attività di regolamentazione, ispezione, autorizzazione, accreditamento e certificazione. Interpretando lo spirito dell’intero Congresso SIACEN, il convegno “Problematiche e prospettive nel settore alimentare” ha riunito attorno ad un tavolo, oltre le Associazioni organizzatrici AICQ e ANGQ, il TUV Italia, il Mipaaf (Ispettorato Centrale della tutela della Qualità e Repressione Frodi dei prodotti agro-alimentari), l’ARSIAL (Agenzia Regionale per lo Sviluppo e l’Innovazione dell'Agricoltura del Lazio), Regione Emilia Romagna - Assessorato Agricoltura Economia Ittica Attività FaunisticoVenatorie, DINTEC-UNIONCAMERE e l’Istituto Nordest Qualità. Nella prima parte del convegno è stato fatto il punto della situazione sullo stato della legislazione nazionale ed europea e, soprattutto, sulle prospettive future di adeguamento della legislazione alimentare italiana alla luce delle disposizioni comunitarie, anche prendendo spunto www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 7 7 ❙ Attualità ❙ www.aicq.it informazioni raccolte per le rispettive attività creando un sistema informativo condiviso. Visto il forte spirito di collaborazione emerso nel convegno, ANGQ ed AICQ si sono offerte di coordinare un tavolo tecnico di studio e confronto, mettendo a disposizione la propria esperienza e competenza di associazioni culturali votate a rendere il sistema di certificazione sempre più efficace e credibile. Estratti dal Convegno Integrazione dei Sistemi di Gestione “il modello 231 come sistema di governance” (18 maggio) L’esperienza di ANGQ sui sistemi di gestione integrati si è arricchita negli ultimi anni con l’estensione dello stesso approccio metodologico ai Modelli di Organizzazione, Gestione e Controllo previsti dal Decreto Legislativo n. 231 del 2001. Da questa esperienza è maturata un’idea forte che tende ad interpretare l’introduzione nelle aziende dei Modelli 231 come il primo passo per lo sviluppo di un sistema di governance rispondente alle esigenze delle PMI. Per governance s’intende l’insieme dei procedimenti e delle strutture messi in atto dai vertici aziendali per informare, indirizzare, dirigere, gestire e controllare le attività dell’organizzazione nel raggiungimento dei suoi obiettivi. Nel suo intervento al convegno del pomeriggio del 18 maggio il Consigliere Pintucci ha illustrato come esistano significative analogie tra queste finalità e quelle del Modello 231 espresse dal legislatore e dalle linee guida di Confindustria. Il percorso da seguire passa attraverso l’ inglobamento dei documenti propri del Modello 231 all’interno delle procedure gestionali e del sistema di classificazione della documentazione aziendale, seguito dall’inserimento dei singoli sistemi di gestione già in atto nell’azienda, certificati o meno, all’interno di un unico sistema di controllo aziendale. Per la realizzazione del sistema di controllo è possibile utilizzare l’impianto dei ma- nuali e delle procedure gestionali di altri sistemi di gestione, definire le regole di comportamento per la prevenzione dei rischi ed i flussi informativi per l’Organismo di Vigilanza tramite istruzioni inserite nel corpo delle procedure gestionali, verificare i comportamenti non conformi, le azioni preventive e correttive ed il riesame del Modello 231 tramite gli stessi strumenti di monitoraggio. Passando quindi alla formalizzazione delle responsabilità e delle deleghe aziendali, che non è presente nei sistemi di gestione basati su norme contrattuali, alla definizione dei rischi e degli obiettivi di controllo, alla registrazione di tutti i controlli effettuabili ed alla istituzione di un sistema di reporting dell’Organismo di Vigilanza al vertice aziendale si determina un vero e proprio sistema di governance tramite il rispetto delle regole di applicazione del Modello 231. Non è abituale considerare i sistemi di gestione basati sulle logiche del quality management come sistemi di controllo, ma in realtà ciascun sistema di gestione che applica la rilevazione delle non conformità e le azioni preventive e correttive attiva sostanzialmente meccanismi di controllo, anche se finalizzati a specifici obiettivi che riflettono gli interessi societari. L’applicazione del Modello 231 fortifica l’esercizio dei controlli consentendo un presidio dei rischi basato sulla seguente struttura: ✎ un primo livello di controllo garantito dal management operativo, ma anche dal responsabile qualità, piuttosto che dal RSPP o dai responsabili ambiente e privacy; luglio/agosto 2011 at tu a l i tà dalle bozze del "Codice di sicurezza alimentare"circolate finora. La seconda parte del convegno ha focalizzato l’attenzione sulla certificazione dei prodotti agroalimentari ed in particolare quella regolamentata: a differenze di quella volontaria - in cui le specifiche oggetto di certificazione sono proposte dal produttore e le conseguenti procedure di controllo e verifica sono stabiliti dall’organismo di certificazione – i requisiti sono definiti in un disciplinare di produzione pubblicato sulla Gazzetta Ufficiale, con la registrazione dell’UE, mentre il piano dei controlli è approvato dal MIPAAF. I requisiti oggetto di certificazione fanno riferimento, ad esempio, a caratteriste chimico fisiche e organolettiche del prodotto finito e delle materie prime, di confezionamento, dei processi di trasformazione dell’intera filiera di produttiva, che devono evidenziarne la tipicità ed il legame al territorio. Per questo la certificazione della denominazione di origine garantisce non solo il consumatore, ma tutela i produttori ed il territorio; da sottolineare che l’Italia è prima in Europa per numero di prodotti interessati. Novità importanti sono state introdotte dai Regolamenti Comunitari 509/2006 e 510/2006 in introducendo l’obbligo di accreditamento dall’1/5/2010 secondo la UNI CEI EN 45011 degli organismi di certificazione di prodotto come uno dei prerequisiti per ottenere l’autorizzazione da parte del MIPAAF. I relatori hanno condiviso la propria esperienza nel campo dei controlli (TUV Italia, UNIONCAMERE e Istituto Nordest Qualità) e della vigilanza nazionale (ICQRF) e regionale (ARSIAL e Regione Emilia Romagna) e sottolineato la necessità di coordinare le attività ispettive, di vigilanza e di controllo svolta dai diversi soggetti in modo da rendere il processo di certificazione ancora più efficace rispetto agli obiettivi di garanzia sui prodotti e quelli di supporto e valorizzazione del territorio. Relativamente a quest’ultimo aspetto, i soggetti intervenuti hanno ribadito il proprio impegno allo scambio dei dati ed AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 8 8 ❙ Attualità ❙ a tt u al i t à ✎ un secondo livello esercitato dall’Or- ganismo di Vigilanza. Ne consegue, in definitiva, la possibilità di dare vita ad un sistema di gestione unificato dalla governance introdotta dal Modello 231 che, partendo dalla mission e dagli obiettivi strategici introdotti nel codice etico, realizzi un unico sistema di valutazione dei rischi, un unico sistema organizzativo, un unico sistema informativo ed un unico sistema di relazioni esterne che, tramite regole di controllo gestite unitariamente, consenta di rilevare comportamenti e risultati attesi. Estratti dal Convegno Sistema di Gestione della Sicurezza sul Lavoro: efficacia prevenzionale, certificazione, collegamenti con l’art.30 del D.lgs. 81/08 e con il D.lgs. 231/01 (19 maggio) C’è un po’ di confusione sulla corretta interpretazione di quanto indicato dall’art. 30 del t.u. sulla sicurezza (D. lgs. 81/2008 e successive integrazioni ) in merito al valore da attribuire ad un sistema della sicurezza certificato rispetto alle conseguenze sulla responsabilità amministrativa delle imprese. E’ opportuno premettere che un sistema certificato di gestione della sicurezza sul lavoro non corrisponde ad un Modello di Organizzazione, Gestione e Controllo. Occorre anche tenere presente che la conformità del sistema certificato ai requisiti definiti nel citato art. 30 non può ritenersi condizione di esimente dalla responsabilità amministrativa. L’esimente si realizza infatti se l’impresa è in grado di provare: ✎ che ha preventivamente adottato ed efficacemente attuato un modello idoneo ad individuare e prevenire i reati considerati dal legislatore, tra i quali l’omicidio colposo e le gravi lesioni colpose; ✎ che ha affidato ad un organismo di controllo il compito di vigilare sul funzionamento e sull’osservanza del modello; ✎ che l’autore del reato abbia commes- luglio/agosto 2011 so una violazione delle regole e dei comportamenti richiesti; ✎ che gli incaricati di effettuare i controlli li abbiano effettivamente esercitati; ✎ che i comportamenti tenuti dai singoli non siano ascrivibili ad azioni a vantaggio del’azienda. Ne consegue che un sistema certificato può ritenersi idoneo rispetto ai requisiti di legge, ma non può per questo ritenersi anche efficace. Per integrare il Modello 231 nel sistema certificato è quindi necessario istituire l’Organismo di Vigilanza, approvare un codice etico ed un sistema sanzionatorio, dare applicazione ad un sistema di deleghe e responsabilità per tutte le figure coinvolte nella gestione del sistema della sicurezza, identificare le procedure che costituiscono i “protocolli” del Modello. Nel corso del Convegno del 19 maggio su “Sistema di gestione della sicurezza sul lavoro: efficacia prevenzionale, certificazione, collegamenti con l’art. 30 del D. lgs. 81/08 e con il D. lgs. 231/01” ANGQ ha sostenuto che, a seguito delle sentenze di condanna alla responsabilità amministrativa per la commissione di reati sulla sicurezza, risultate particolarmente pesanti per le imprese e gli amministratori, molte società cominciano a considerare l’opportunità di applicare il Modello 231 anche per i soli reati sulla sicurezza. La spiegazione va individuata nei vantaggi derivanti dalla possibilità di introdurre un sistema di deleghe che permette di chiarire, tramite norme organizzative interne, le responsabilità del datore di lavoro, del RSPP e dei preposti che le sole disposizioni di legge non hanno contribuito a chiarire. Si sottolinea che con una delibera dei Consigli di amministrazione è possibile attribuire: all’Amministratore delegato il compito di curare la politica e gli obiettivi sulla salute e la sicurezza e di riesaminare il sistema di gestione ad intervalli pianificati; al RSPP specifiche responsabilità di controllo del sistema di gestione e di concorso con l’Organismo di Vigilanza al riesame del modello; ai diri- genti/preposti il controllo operativo di sistema; all’Organismo di Vigilanza il compito di verificare la conformità del sistema alla legislazione applicabile ed alle regole organizzative sui presidi di controllo. Questo sistema di responsabilità così formalizzate non è praticabile tramite la semplice adozione di un sistema certificato, ma è reso possibile tramite l’applicazione di un Modello 231. In questo modo il RSPP è messo nella condizione di rappresentare criticità e non conformità all’Organismo di Vigilanza e quest’ultimo è messo in grado di proporre le azioni preventive o correttive al Datore di lavoro. E’ facilmente comprensibile che con questo sistema si viene ad applicare un circolo virtuoso in cui, ad esempio, le responsabilità del RSPP sono più caratterizzate a fronte di garanzie che, anche in un sistema certificato, non sembrano sufficientemente definite sul piano delle responsabilità. Si è evidenziato come il RSPP sia un coordinatore di procedure sulle quali esercita una supervisione ed un controllo, ma né il testo unico sulla sicurezza, né le norme contrattuali lo inquadrano come un auditor interno e pertanto non gli sono conferiti obblighi specifici su proposte di riesame. E’quindi soltanto attraverso l’introduzione del Modello 231 che può risolversi con la dovuta chiarezza questo elemento di equivocità. Estratti dal Convegno Quality & Business Management Systems: scenari e nuovi modelli di business sostenibile (20 maggio) Nel corso del Convegno, organizzato da AICQ – Comitato Normativa e Certificazione dei Sistemi Gestione Qualità, sono stati discussi, con un approccio multidisciplinare, i temi emergenti dei nuovi e complessi scenari internazionali e i nuovi driver di successo per le Organizzazioni orientate alla crescita e allo sviluppo durevole e sostenibile. Il Prof. Gaetano Macario, consulente di management, esperto di strategie di in- www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 9 9 ❙ Attualità ❙ www.aicq.it bili alla necessità ormai imprescindibile, per il Sistema Azienda, di gestire efficacemente e con approcci realmente integrati i diversi aspetti, “volontari” e non, che impattano in modo crescente sulla continuità del business. Ha evidenziato, dunque, come l’evoluzione del contesto competitivo in cui le imprese operano e le loro modalità di porsi sul mercato mettono in luce in modo evidente quanto il fattore di rischio sia insito nelle attività aziendali. Pertanto la capacità di identificazione, valutazione e gestione del rischio da parte del management è un aspetto critico per il conseguimento degli obiettivi aziendali e per il loro mantenimento nel tempo. Collegandosi agli attuali scenari, ha delineato la particolare importanza che assumono alcuni strumenti di governance per la gestione del rischio: i modelli organizzativi per la prevenzione del rischio reati ex D.Lgs n. 231/2001; il reporting economico-finanziario, la cui affidabilità gioca un ruolo fondamentale nella sostenibilità d’impresa; il sistema di gestione per la business continuity secondo la norma BS 25999-2. L’Ing. Ennio Nicoloso, già Capo della Delegazione Italiana ai lavori dell’ISO TC 176, ha relazionato sui nuovi orientamenti emergenti in ambito ISO per la futura revisione dell’ISO 9001, ponendo in evidenza gli argomenti attualmente in discussione, seppure in uno stadio iniziale di riflessioni preliminari, che prendono ampiamente in esame molti dei concetti chiave elaborati nella comunità del business internazionale. Tali riflessioni terranno conto inoltre dei risultati, in fase di elaborazione, dell’ISO 9000 User Survey, condotta negli ultimi mesi dall’ISO TC 176, a cui ha contribuito parzialmente anche l’Italia. Tra i temi di grande interesse, presi in esame, vi sono il rispetto dei tempi, la velocità di reazione, l’agilità operativa, l’allineamento alle prassi di gestione del business, l’inserimento della mentalità del rischio, la gestione del ciclo di vita del prodotto e della supply chain, l’innovazione, il Knowledge Management. L’Ing. Gennaro Bacile di Castiglione, con- sulente sui Sistemi di Gestione, membro del GdL UNI sulla Gestione del Rischio, ha illustrato infine come la filosofia del Risk Management può essere considerata un elemento portante del Sistema di Gestione, in ottica integrata, per una governance consapevole e responsabile di un’Organizzazione. La relazione ha stimolato riflessioni che portano a considerare non diversi “sistemi di gestione”, ma un unico “Sistema di Gestione”, come un insieme di processi interagenti tra loro e con il mondo esterno all’Organizzazione, con l’obiettivo strategico di soddisfare esigenze ed aspettative di tutte le parti interessate, come strumento di governo dei rischi di qualsiasi natura, inteso come massimizzazione delle opportunità e minimizzazione dei pericoli e delle minacce. Il Convegno, dunque, ha stimolato importanti spunti di riflessione sulla necessità di guidare le Organizzazioni verso l’eccellenza sostenibile, con approcci che tengano conto coerentemente ed in logica sistemica dei molteplici rischi, degli aspetti cogenti e degli aspetti solo apparentemente “volontari”, delle nuove sfide competitive poste dagli scenari internazionali ed in particolare dell’esigenza di ottenere risultati bilanciati per gli stakeholder attuali e futuri, includendo il benessere delle generazioni future nella dimensione della sostenibilità del business. Informazioni conclusive La preferenza degli argomenti trattati e le sintesi degli interventi dei relatori sono una libera scelta del Comitato di Redazione congiunto ANGQ e AICQ, il quale si scusa con i relatori del Congresso per non avere potuto dare spazio, in questo articolo, a tutti gli interventi presentati e anche nel caso che qualche frase a loro attribuita non fosse stata bene riportata. Rimandiamo i lettori a consultare periodicamente il sito ufficiale del Congresso www.siacen.it, dove prossimamente saranno inseriti approfondimenti e articoli su tutti i convegni e saranno trattate ulteriori tematiche emerse durante il Congresso SiACeN 2011. luglio/agosto 2011 at tu a l i tà ternazionalizzazione d’impresa, ha illustrato una panoramica globale degli attuali scenari competitivi internazionali, ponendo in evidenza la nuova realtà “multipolare” degli assetti geopolitici ed economici e i trend emergenti su scala globale. In questo contesto internazionale, sempre più complesso e in rapido cambiamento, in cui assumono un ruolo crescente nuovi player provenienti da paesi emergenti capaci di competere contemporaneamente low-cost e hight quality, emergono chiaramente alcuni trend che si traducono in altrettante sfide competitive per le organizzazioni. I nuovi driver strategici per competere con successo e creare valore sostenibile nella competizione globale vedono come protagonisti l’Innovazione, l’Internazionalizzazione, il focus sulle Core Competencies, lo sviluppo della produttività e dell’efficienza, con la necessità di un deciso e coerente orientamento all’eccellenza sostenibile della gestione strategica e operativa delle Organizzazioni. La Dott.ssa Cecilia de Palma, consulente di management, esperta in modelli di business excellence, ha evidenziato come, tra le nuove sfide competitive che si pongono per le Organizzazioni, assuma un ruolo di crescente importanza strategica la sfida della “sostenibilità”, che richiede una nuova visione e gestione strategica del rapporto tra l’organizzazione e i suoi stakeholder, attuali e futuri, con un coerente orientamento al lungo periodo. Ha approfondito, inoltre, come il tema della creazione di valore per gli stakeholder, strettamente correlato con quello della Corporate Social Responsibility, sia presente nei principali modelli di riferimento adottati dalla comunità internazionale per la guida strategica e operativa delle Organizzazioni, quali ad esempio l’EFQM Excellence Model 2010 e, nell’ambito delle guide elaborate in ambito ISO, l’ISO 9004:2009 e la recente ISO 26000:2010. L’Ing. Claudio Provetti, IMQ - CSQ Director & Management Systems, Inspection and ICT Security B.U. Director, ha illustrato le dinamiche in atto negli ambiti “cogente” e “volontario”, riconduci- AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 10 10 ❙ Attualità ❙ a tt u al i t à >> Gaetano Montebelli Presidente ANGQ Vincenzo Mazzaro Presidente AICQ AICQ e ANGQ riprendono un cammino comune Dal 18 al 20 maggio scorso si è tenuto il Primo Congresso Nazionale sui Sistemi di gestione, Accreditamenti, Certificazioni e Notifiche - SiACeN, che ha visto la presenza di oltre 1400 partecipanti ed al quale sono intervenute significative rappresentanze politiche, associazionistiche, del mondo della normazione tecnica volontaria, dell’accreditamento e della certificazione. L’idea del Congresso è nata anche dall’esperienza fatta partecipando alla redazione del libro bianco “Manifesto della Qualità: regole, sicurezza, competitività” (pubblicato da Confindustria e presentato al Ministero dello Sviluppo Economico il 25 novembre 2010). Proprio partendo da alcune delle problematiche emerse durante la sua stesura (le complicazioni incontrate nell’applicazione del Regolamento CE 765/2008, le conseguenze del successivo non riconoscimento di alcune notifiche italiane, la generale difficoltà del sistema della certificazione), ANGQ e AICQ insieme hanno sentito la necessità di rinnovare le passate esperienze nella diffusione della cultura dei sistemi di gestione, per discutere le vigenti difficoltà operative e dare lo spunto per soluzioni necessarie e condivise. L'intento del Congresso infatti è stato quello di riunire tutte le parti interessate in un dibattito culturale finalizzato, attraverso il dialogo e il confronto, a promuovere un programma congiunto che possa individuare le esigenze delle parti stesse e identificare i possibili obiettivi di miglioramento utili al “Sistema Qualità Italia” e più in generale al “Sistema Paese”, ponendo così le basi per un confronto continuo e duraturo nel tempo. L’evento è stato (oltre che un successo organizzativo e di contenuti, come si può leggere negli articoli all’interno della rivista) anche l’occasione per fare ritrova- luglio/agosto 2011 re ad AICQ e ANGQ l’unità di intenti. In questo spirito sono stati consegnati due premi alla carriera dedicata ai Sistemi di Gestione: a Giovanni Mattana (AICQ) da parte di ANGQ ed a Gaetano Montebelli (ANGQ) da parte di AICQ. Nonostante da anni i moderni sistemi di gestione - come pure le certificazioni, gli accreditamenti e le notifiche - interessino le attività di un gran numero di organizzazioni, non esiste più un punto di incontro comune per confrontarsi, al di fuori dei propri ruoli ufficiali, al fine di favorire soluzioni e miglioramenti. Confrontarsi culturalmente sembra essere in Italia sempre più difficile, e tutta la nostra vita lavorativa e sociale ne soffre le conseguenze; per questo motivo, le nostre associazioni hanno voluto cooperare al fine di rilanciare il confronto culturale nel Paese, ma hanno anche voluto dare un significativo esempio, di cui l’Italia della politica e del lavoro ha grande bisogno: si può essere concorrenti nel rispetto e nel confronto costruttivo con gli altri. Certamente, quando nel 2010 il Presidente ANGQ - partecipando alla Giunta AICQ - ha proposto di realizzare insieme un importante evento culturale di tre giorni, grande fu lo stupore e al tempo stesso la voglia di riprendere un comune cammino, nonostante la proposta presentasse non poche difficoltà in relazione all’attuale congiuntura negativa. Nonostante le difficoltà, siamo riusciti ad applicare il principio che “fare le cose insieme è meglio che farle divisi”. L’auspicio è che le due associazioni possano realizzare tante altre attività comuni, in quanto - vista la loro ridotta dimensione rispetto alla grandezza del mercato al quale possono rivolgersi - anche messe insieme parlare di concorrenza talvolta ci ha fatto sorridere. L’intenzione è quella di riprendere e rinverdire la felice stagione comune (dal 1983 al 1992) nella quale abbiamo realizzato molteplici ed importanti eventi, tra i quali non può non essere ricordata la Prima Conferenza Italiana su “La qualità e l’evoluzione dei sistemi nazionali di certificazione nella CEE” tenutasi a Firenze nel 1989, con sessioni tradotte in 4 lingue! L’accordo e le future collaborazioni tra le nostre associazioni, naturalmente, non dipendono solo dalla volontà e dall’impegno dei presidenti; è per questo che vogliamo ringraziare i rispettivi organi direttivi, le organizzazioni territoriali e le strutture operative per il supporto che hanno dato e daranno in futuro, nonché le altre due organizzazioni che costituiscono un imprescindibile riferimento per chi lavora per il “Sistema Qualità Italia” - ACCREDIA ed UNI - con le quali abbiamo un rapporto stretto, positivo e soprattutto finalizzato all’obiettivo comune della crescita del Paese, delle imprese e dei professionisti, nell’interesse dell’intera società. www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 11 11 ❙ Il Mestiere del Valutatore ❙ te m a >> Filippo Trifiletti Direttore generale Accredia Il ruolo di Accr edi a nel settore delle c os truzioni A ccredia è l’ente unico nazionale di accreditamento designato dal Governo nel 2009 per svolgere l’attività di accreditamento degli Organismi di certificazione e ispezione e dei Laboratori di prova e di taratura. L’ente di accreditamento valuta la competenza tecnica e l'idoneità professionale degli operatori di valutazione della conformità (Laboratori e Organismi), accertandone la conformità a regole obbligatorie e norme volontarie, per assicurare l’affidabilità delle attestazioni di conformità. Costituito come associazione senza scopo di lucro che riunisce 63 soci, Accredia opera sotto la vigilanza del Ministero dello sviluppo economico, che rappresenta l'Autorità nazionale per le attività di accreditamento ed è il punto di contatto con la Commissione Europea. Accredia è membro degli Organismi europei e internazionali di cooperazione tra enti di accreditamento a livello regionale e mondiale (EA, IAF e ILAC) ed è firmatario dei relativi Accordi internazionali di mutuo riconoscimento (MLA/MRA), che consentono alle valutazioni di conformità rilasciate sotto accreditamento di essere riconosciute nei principali mercati mondiali. Articolato in 4 Dipartimenti - Certificazione (dei sistemi di gestione, dei prodotti e del personale) e Ispezione; Laboratori di prova; Laboratori di prova per la www.aicq.it sicurezza degli alimenti; Laboratori di taratura – l’ente, a oggi1, ha accreditato 1000 Laboratori di prova, 170 Laboratori di taratura e 162 Organismi di certificazione e ispezione. Accredia è un soggetto privato chiamato a svolgere un compito d’interesse generale per la collettività, poiché esercita un’attività “di autorità pubblica”, e si propone con senso di responsabilità verso il Governo italiano, per corrispondere agli atti assunti per l’applicazione dei Regolamenti e delle Direttive comunitarie. L’ente è oggi un autorevole interlocutore per le Pubbliche Amministrazioni, e per tutte le parti interessate, impegnato nel rafforzare la complementarietà dei sistemi e delle competenze, nei settori volontario e regolamentato. Quello delle costruzioni civili è oggi uno dei settori più rilevanti per l'applicazione della qualità, ma è anche caratterizzato da specifiche criticità, perché vi convergono esigenze di contrattualistica, di applicazione di disposizioni legislative, di implementazione dei Sistemi di gestione – anche integrati –, nonché per i nuovi requisiti di risparmio energetico e di sostenibilità degli interventi edilizi. Tre sono gli approcci alla qualità nel settore delle costruzioni: Approccio di prodotto Riguarda la certificazione di conformità dei prodotti a determinate specifiche contenenti i requisiti costruttivi e di prestazione. Si applica ai materiali e componenti per le costruzioni ed impianti connessi. La legislazione di riferimento è rappresentata dalle Leggi nazionali e dalle Direttive europee. Si considerano anche le specifiche fissate nelle norme standardizzate e quelle “volontarie”. Approccio ispettivo Si applica alle opere di costruzione nella fase sia di progettazione che di realizzazione. Nel campo delle opere pubbliche (OO.PP.), il riferimento è rappresentato, in particolare, dall’art. 30 comma 6 della Legge 109/94, ora sostituito dal D. Lgs 163/06 – il Codice dei Contratti Pubblici relativi a lavori, servizi e forniture – che prescrive l’esecuzione di verifiche a fini validazione della progettazione di OO.PP. a cura di organismi di ispezione accreditati. Il Codice dei Contratti Pubblici ha previsto all'art. 112, comma 5, l'emanazione di un Regolamento per disciplinare le modalità di verifica dei progetti prima dell'inizio dei lavori. Tale Regolamento attuativo, il DPR n. 207 del 05.10.2010 – che entrerà in vigore a 6 mesi dalla pubblicazione nella Gazzetta ufficiale – all’art. 46 specifica che, per le attività di verifica, sono Orga- novembre/dicembre 2010 AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 12 te m a 12 ❙ Il Mestiere del Valutatore ❙ ni di accreditamento degli Organismi di ispezione di tipo A, B e C ai sensi della norma europea ISO/IEC 17020, gli enti partecipanti all'European cooperation for accreditation (EA). Con apposito decreto del Ministro delle infrastrutture e dei trasporti, adottato entro 6 mesi dalla data di entrata in vigore del Regolamento stesso, saranno disciplinate le modalità e le procedure di accreditamento per gli Organismi di ispezione di tipo A, B e C. A giudizio di Accredia, sarà opportuno seguire con attenzione l'applicazione del Regolamento che potrebbe presentare alcune criticità. In particolare, tale criticità risiederebbe nell'ipotesi di ricorso agli Organismi d’ispezione non solo di tipo A (che possono vantare il massimo grado di indipendenza), ma anche di tipo B e soprattutto di tipo C. Accredia ritiene quindi che l’accreditamento come Organismi di ispezione ai sensi della ISO/IEC 17020 debba essere sempre richiesto per la realizzazione di opere che richiedono una spesa superiore ai 20 milioni di euro, mentre per le opere di importo inferiore, si corre il rischio di avere una situazione variegata di soggetti coinvolti – dagli uffici tecnici delle stesse stazioni appaltanti, agli Organismi di ispezione accreditati ai sensi della ISO/IEC 17020 (in certi casi anche di tipo B e C), fino agli studi di ingegneria con sistema di gestione della qualità certificato ISO 9001. Già Sincert (oggi Accredia) aveva affrontato la questione, con l’emissione dei Regolamenti Tecnici RT-072 e RT-103, per meglio definire i criteri di accreditamento per gli Organismi di ispezione operanti in tale ambito. Più recentemente, Accredia ha preso in carico anche la materia della certificazione degli studi di ingegneria certificati ISO 9001, pubblicando l’RT-214, che descrive quali sono gli aspetti del SGQ di uno studio di ingegneria che devono essere valutati con attenzione dagli Organismi di certificazione in sede di verifica ispettiva e sorveglianza, oltre alla formulazione dello scopo di certificazione. novembre/dicembre 2009 Approccio di sistema/processo Nel campo delle opere pubbliche, il riferimento legislativo per la qualificazione delle imprese di costruzione è il D. Lgs 163/06 (ex L.109/94) che richiede il possesso da parte dell’impresa di un sistema di gestione per la qualità conforme alla norma ISO 9001:2008. A specifici Organismi di attestazione (SOA) la legge affida il compito di accertare il possesso, da parte delle imprese qualificate, della certificazione di sistema di qualità rilasciata da organismi di certificazione accreditati ai sensi delle norme della serie ISO/IEC 17000. Gli Organismi di certificazione hanno l'obbligo (art. 63 comma 4-5 del DPR n. 210 del 05.10.2010) di comunicare all'Autorià, entro 5 giorni, l'annullamento ovvero la decadenza della certificazione di qualità ai fini dell'inserimento nel casellario informatico. Entro lo stesso termine, la comunicazione è inviata alle SOA. La regolarità dei certificati di qualità deve essere riscontrata dalle SOA mediante il collegamento informatico con gli elenchi ufficiali tenuti dagli enti partecipanti a EA. Considerate le peculiarità del settore delle costruzioni, Accredia ha elaborato uno specifico documento, contenente particolari prescrizioni per gli organismi di certificazione operanti in tale settore, il Regolamento Tecnico RT-055, i cui requisiti si aggiungono, integrandoli, ai requisiti generali di accreditamento della norma ISO/IEC 17021. Per le attività di verifica sono Organi di accreditamento per gli Organismi di certificazione del sistema di controllo interno di qualità coerente con i requisiti della norma ISO 9001, gli enti partecipanti a EA. Con apposito decreto del Ministro delle infrastrutture e dei trasporti, adottato entro 6 mesi dalla data di entrata in vigore del Regolamento attuativo DPR n. 210 del 05.10.2010, saranno disciplinate le modalità e le procedure di accertamento per gli organismi di certificazione del sistema di controllo interno di qualità coerente con i requisiti della ISO 9001. Un particolare cenno può essere fatto al- la certificazione dei centri di trasformazione dell’acciaio, disciplinata dal DM 14.01.2008 sulle “Nuove norme tecniche per le costruzioni” nel capitolo 11, “Materiali e prodotti per uso strutturale” paragrafo 3.1.7. La norma prevede per il trasformatore l’obbligo di dotarsi di un sistema di controllo delle lavorazioni, al fine di garantire le caratteristiche meccaniche e geometriche dei prodotti originari, e sulla base di ciò stabilisce che il processo di trasformazione deve essere organizzato attraverso un sistema di gestione della qualità del prodotto rilasciato ai sensi della norma ISO 9001 e certificato da un organismo terzo che opera in coerenza con la norma ISO/IEC 17021. Accredia ritiene che il riferimento al sistema di controllo del processo di trasformazione dell’acciaio e al sistema di gestione della qualità possa dar luogo a una duplice interpretazione. La prima, meno restrittiva, porta a ritenere che sarebbe richiesta la conformità ai requisiti più operativi di controllo del processo di lavorazione; la seconda, più rigida, farebbe propendere per la scelta in cui il centro di trasformazione dovrebbe dotarsi di un sistema gestione completo, ai sensi della norma ISO 9001. Verso la prima interpretazione, che Accredia ritiene preferibile, si è mosso lo stesso Consiglio Superiore dei Lavori Pubblici, quando, attraverso la sua Assemblea Generale, ha espresso nel parere N. 17/06 un principio analogo, adottando la stessa terminologia che era stata utilizzata per il calcestruzzo preconfezionato. La validità di entrambe le interpretazioni è comunque influenzata dall’efficacia della valutazione del processo produttivo, che presuppone conoscenze e specializzazioni settoriali approfondite da parte dei verificatori e che è certamente favorita dalla disponibilità di idonee Linee Guida. Accredia si propone quindi di collaborare con il Consiglio Superiore dei Lavori Pubblici per predisporre adeguate Linee Guida. Infine vi è un ultimo rilievo, più attinente al tema dell’accreditamento, che viene www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 13 ❙ Il ruolo di Accredia nel settore delle costruzioni ❙ A conferma del riconoscimento del ruolo dell’ente di accreditamento e della validità del suo operato nel campo dell’accreditamento degli Organismi di valutazione e attestazione della conformità nel settore delle costruzioni – in particolare per l’accreditamento dei sistemi di gestione per la qualità (EA28) – ricordiamo la collaborazione con l’Autorità di vigilanza sui contratti pubblici, sulla base di un Protocollo d’Intesa già sottoscritto con Sincert. Sulla base del Protocollo, opera una Commissione di Supporto all’Autorità (CSA), composta da rappresentanti designati sia da Accredia che dall’Autorità, con il compito di accertare e confermare il rispetto delle prescrizioni dei Regolamenti Accredia da parte degli Organismi di certificazione e ispezione operanti nel settore delle costruzioni. Attualmente, il Protocollo è in fase di revisione sia per l’introduzione di nuovi riferimenti normativi (il Regolamento attuativo DPR n. 210 del 05.10.2010), sia perché lo scopo dell'Autorità nel frattempo è stato esteso a tutte le forniture e ser- vizi. Analogamente, risulta in fase di revisione il Regolamento di funzionamento della Commissione mista prevista dal protocollo stesso (CSA). ■ NOTE 1 Gennaio 2011. 2 RT-07 - Prescrizioni per l'accreditamento degli Organismi di Ispezione di tipo A e B ai sensi della norma UNI CEI EN ISO/IEC 17020 – www.accredia.it. 3 RT-10 - Criteri generali di valutazione da parte SINCERT delle attività di verifica dei progetti ai fini delle relative validazioni – www.accredia.it. 4 RT - 21 - Prescrizioni per l'accreditamento degli Organismi operanti la certificazione del sistema di gestione per la qualità (SGQ) delle organizzazioni che effettuano attività di verifica della progettazione delle opere, ai fini della validazione – www.accredia.it. 5 RT-05 - Prescrizioni per l’accreditamento degli Organismi operanti la valutazione e certificazione dei sistemi di gestione per la qualità delle imprese di costruzione ed installazione di impianti e servizi (sett. EA 28) – www.accredia.it. stione Qualità http://www.aicqpiemonte.it Valutatore interno di Sistemi di gestione per la sicurezza alimentare con approfondimenti sul- 22-23 settembre TRIVENETA – Mestre (VE) la norma UNI EN ISO 22000: 2005 - Introduzione ai Sistemi Gestione Qualità. www.aicqtv.net 10-11 ottobre - Enterprise Risk Management 15-16 settembre Le basi per un sistema di Gestione Ambienta- 26-28 settembre Le norme ISO 9000 e il Sistema di Gestione le: le norme ISO 14000 e il regolamento Corso 40 ore Auditor Interni dei Sistemi Ge- per la Qualità EMAS stione Sicurezza BS OHSAS 20-21 settembre 12-14 ottobre 27 settembre La norma UNI CEI EN ISO /IEC 17025: 2005 Corso 40 ore Valutatori interni di Sistemi di Q.F.D. Quality Function Deployment 22-23-26-27-28 settembre Gestione Qualità 29-30 settembre Valutatori di Sistemi di Gestione Qualità Strumenti per il controllo statistico di 29 settembre TOSCO LIGURE – Firenze processo La norma UNI EN ISO 22005: 2008 per la rin- http://www.aicq-tl.it 3-7 ottobre tracciabilità aziendale e di filiera 26- 29 settembre e 17 – 8 ottobre Auditor dei Sistemi di Gestione per la Qualità 30 settembre Mediazione umanistica aziendale 10-11 ottobre Efficienza organizzativa in un Ente locale: ge- 12 – 14 settembre Benefici economici e finanziari della qualità stire e modificare processi e responsabilità Decreto Legislativo 231/2001 11-12 ottobre 4 ottobre 3-5 ottobre La Statistica che serve in azienda La stima dell'incertezza di misura nei labora- Corso 40 ore Sistemi di gestione Qualità 12-14 ottobre tori chimici 10-12 ottobre Qualificazione Auditor interni dei Sistemi Ge- 5-6-7 ottobre Corso 40 ore Sistemi di gestione Ambiente www.aicq.it luglio/agosto 2011 c o r si Per l’attività formativa, ove non indicata, si rimanda al sito internet delle Federate o ai contatti presenti a pag. 1 PIEMONTE – Torino te m a richiamato nella definizione di centro di trasformazione dell’acciaio, ossia il soggetto deputato a rilasciare le certificazioni di cui sopra. Tale sistema di controllo, infatti, dovrebbe essere certificato da un Organismo che opera in coerenza con le norme di accreditamento (ISO/IEC 17021 o EN 45011). Anche qui, le incertezze nascono da un’interpretazione, data sempre dal Consiglio Superiore dei Lavori Pubblici nel già citato parere N. 17/06, in cui si ritiene che l’attività di certificazione del sistema di controllo della produzione è assimilabile a quella prevista dal D.P.R. n. 246/93. Ciò porterebbe a concludere che sarebbe prevista anche per i centri di trasformazione dell’acciaio una procedura abilitativa degli Organismi di certificazione. Il chiarimento nasce dalla volontà di Accredia di collaborare, pur consapevole del ruolo che gli è stato riconosciuto dal Governo, in sintonia con il Consiglio Superiore dei Lavori Pubblici nei settori che possono essere di sua competenza. 13 AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 14 te m a 14 ❙ Il Mestiere del Valutatore ❙ >> Arch. Massimo Guidarelli Resp. Settore Commesse Italia (UO Sistemi Qualità, Ambiente e Sicurezza di ITALFERR SpA) L’audit e i sistemi gestionali: un binomio di garanzia e di soddisfazione del cliente Audit integrati: l’esperienza di Italferr L’ attività di audit sui sistemi gestionali di un’organizzazione, come indicato dalla linea guida UNI EN ISO 19011, prevede un metodo di indagine codificato e rigoroso che consente, ad un auditor qualificato, di pervenire ad una dettagliata conoscenza di quanto messo in atto dall’organizzazione stessa al punto di poterne valutare la conformità o meno alle norme che stabiliscono i requisiti che devono avere i sistemi gestionali. Se il sistema risulta conforme a tali norme, l’auditor può concludere che quanto messo in atto può ragionevolmente garantire il risultato previsto dall’organizzazione. Tale risultato, per un’organizzazione operante nel mercato, consiste nel fatto che il suo prodotto sia di soddisfazione del cliente che glielo ha commissionato in termini di costo, qualità e tempi richiesti. Se il risultato previsto non si concretizza, se il prodotto è inutilizzabile, se il servizio è inadeguato, possiamo essere ragionevolmente sicuri che il sistema gestionale non è adeguato e quindi non è conforme alle norme. Trattando in questa sede delle norme relative ai sistemi di gestione per la Qualità, Ambientali e della Salute e Sicurezza del Lavoro, rispettivamente le UNI EN ISO 9001, UNI EN ISO 14001 e BS OHSAS 18001, nel risultato previsto includiamo il rispetto dell’ambiente e della salute e sicurezza dei lavoratori im- luglio/agosto 2011 piegati nella produzione ed estendiamo il concetto di cliente a quello di parte interessata. Le norme citate sui sistemi gestionali descrivono in modo chiarissimo ed efficiente le basi comportamentali necessarie, ma non ancora sufficienti, a portare a conclusione e con successo una qualsiasi intenzione che diventa azione e poi prodotto. Queste basi prevedono: pianificare, attuare quanto pianificato, controllare se quanto attuato corrisponda a quanto pianificato, modificare la pianificazione se non si rileva tale corrispondenza, ripetendo il ciclo fino a soddisfazione. Questo processo, se applicato in modo sistematico, direi ossessivo, a tutte le fasi anche se di un complicato progetto, consente di ridurre al minimo le incertezze, le omissioni e gli errori, e di mantenere la confidenza nel risultato in tutte le fasi di produzione prima ancora di vedere il prodotto. Poco prima si diceva che quanto codificano le norme sui sistemi è necessario ma non è sufficiente. Ciò perché il codice costituisce solo una nervatura intorno alla quale sviluppare e innestare poi correttamente quanto di tecnico, di infrastrutturale e di sostanza è specifico dell’organizzazione. Se tutto quanto detto corrisponde a verità, e quei numerosissimi eminenti studiosi, che immagino riuniti in assisi interminabili, hanno scritto e poi migliora- (1a parte) to negli anni quelle norme, ci credono, dobbiamo dedurre che chi sviluppa un sistema nella propria organizzazione e chi ne verifica l’adeguatezza come parte interessata svolge un lavoro talmente importante che fa la differenza se l’organizzazione riesce o meno a svilupparsi e perfino a sopravvivere e se la parte interessata ottiene o meno quanto atteso in corrispondenza a quanto ha pagato o si è impegnata a pagare. Occorre aggiungere che i sistemi gestionali non sono una recente invenzione ma sono sempre esistiti fin da quando esiste la vita sulla terra. Nessuna forma di vita potrebbe esistere se non potesse utilizzare i requisiti dei sistemi gestionali. E, per arrivare più vicino a noi, nessun progetto o azione dell’uomo sarebbe mai arrivata a buon fine senza l’utilizzo di sistemi gestionali: nessuna traversata atlantica, nessuna estrazione di petrolio, nessuna fabbricazione di edificio, ma anche nessuna scrittura di un libro e neanche una semplice passeggiata nel parco. La differenza è che ad un certo punto della nostra storia tali sistemi sono stati codificati, messi per iscritto ed emanati da un organismo internazionale riconosciuto e tutte le organizzazioni del mondo si sono potute o dovute adeguare e uniformare a tali codici con positive conseguenze di standardizzazione internazionale. Il presente contributo intende riferire di www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 15 15 ❙ Audit integrati: l’esperienza di Italferr ❙ www.aicq.it no verificati periodicamente, o su specifiche esigenze, da auditor qualificati interni di Italferr. Queste prescrizioni sono state messe in atto dagli appaltatori e gli audit, sono stati effettuati come da programmi prestabiliti e, nel corso degli anni, controllore e controllato hanno percorso un cammino comune di crescita che ha comportato nel tempo significativi miglioramenti sulla qualità dei progetti in termini di contenuti e di congruenza, sui modelli organizzativi della gestione dei cantieri messi in atto dagli appaltatori e sul miglioramento della competenza delle risorse. Completata la fase di introduzione e consolidamento dell’integrazione dei sistemi gestionali nei processi di produzione, andata avanti per alcuni anni, nella quale molto si è dovuto fare nella qualifica degli esperti, nella costruzione dell’interfaccia controllore-controllato, nel training sulla conduzione degli audit, nello studio progressivo e sempre più approfondito delle norme volto alla loro autentica interpretazione, è iniziata la fase matura nella quale pretendere sistematici risultati attraverso un’applicazione rigorosa delle norme in questione. I sistemi gestionali, ormai adeguatamente congegnati e descritti sulla carta dagli appaltatori, devono ora trovare inderogabilmente una corrispondente applicazione in campo, integrando le competenze e le operazioni previste dai sistemi (pianificazioni, codifica di regole e di istruzioni, qualifica preventiva di risorse, di organizzazioni fornitrici e di materiali da utilizzare, registrazioni delle fasi critiche o non più indagabili ex post, conservazione delle registrazioni e dei documenti, sorveglianza sul corretto funzionamento del sistema, audit interno, riesame, …) con quelle necessarie alla produzione (progettazione, approvvigionamento, esecuzione lavori, collaudo,…). Le risorse degli appaltatori che hanno presidiato l’introduzione dei sistemi gestionali (Quality Engineer) nelle attività di cantiere devono ora integrarsi e coinvolgere le maestranze di produzione, pretendere dai subappalta- tori e dai fornitori, attraverso clausole contrattuali ed una adeguata interfaccia, l’applicazione dei dispositivi di sistema previsti per le opere subappaltate, insomma realizzare l’equazione: buon risultato del prodotto => buon sistema di gestione. La portata e le conseguenze dell’avvio della fase matura di applicazione dei sistemi di gestione e dell’audit è enorme, comporta che chi tiene il filo sui sistemi degli appaltatori è in grado di monitorare quello che sta succedendo guardando da dentro l’appaltatore non solo esaminando le sue azioni esteriori e quindi “monitorare” anche quello di adeguato o inadeguato che starebbe per succedere. Possono in questo modo correggersi e prevenirsi alcune condizioni inaccettabili che purtroppo continuano a verificarsi, in cui alcuni problemi iniziali nell’appalto non sono stati rilevati e/o affrontati e la caduta di qualità delle opere o la violazione di normative ambientali o di sicurezza si è andata cristallizzando se non addirittura progressivamente aggravando! Il percorso Italferr Per ottenere sistemi gestionali maturi dagli appaltatori e fornitori, Italferr, dall’inizio del 2009, ha iniziato un proprio percorso di miglioramento attraverso il quale registra già i primi risultati. Tale percorso ha previsto: ✎ A inizio 2009, svolgimento di un riesame realistico delle attività di audit attraverso la rilettura collegiale critica dei rapporti di verifica ispettiva svolti dai singoli Quality Engineer nel 2008 evidenziando i limiti del lavoro svolto e gli errori commessi; ✎ analisi comparata dei tre sistemi gestionali in questione per la messa a punto di un efficace metodo di svolgimento di audit combinati Qualità Ambiente e Sicurezza; ✎ revisione dell’organizzazione del lavoro attraverso una pianificazione più dettagliata delle attività ✎ revisione del metodo di conduzione dell’audit prevedendo una modalità luglio/agosto 2011 te m a un’esperienza in corso di svolgimento nella società di ingegneria del Gruppo FS, la Italferr, che ha preso le mosse dalla consapevolezza della portata di quelle norme e della volontà di prevedere, nella realizzazione delle grandi opere ferroviarie, adeguati sviluppatori e gestori di sistema e adeguati verificatori. E’ una società di ingegneria che produce progetti per opere ferroviarie e controlla gli appaltatori di tali opere al fine di garantire che le opere realizzate corrispondano ai progetti precedentemente sviluppati e alle aspettative del cliente. E’ un’attività estremamente complessa che prevede l’integrazione di innumerevoli sottoprocessi ordinati a più livelli, l’impiego di risorse di molteplici specializzazioni e competenze comportamentali, il ricorso a molte e diverse organizzazioni esterne quali i fornitori di servizi di ingegneria e subappaltatori e subfornitori degli appaltatori principali, ma a valle di tale complessità il risultato atteso è unico: avere nei tempi e nei costi previsti un’opera che abbia determinate prestazioni attese relative al servizio ferroviario che deve svolgere, abbia determinate caratteristiche di durabilità nel tempo, di manutenibilità, sicurezza di esercizio, economicità di gestione, conservi il tracciamento dei processi e messi in atto in fase di realizzazione e la descrizione delle caratteristiche dei suoi componenti. A fronte delle complessità descritte Italferr ha ritenuto indispensabile implementare e mantenere attivo un sistema gestionale integrato qualità, ambiente e sicurezza, per governare ogni fase dell’intero processo, dallo studio di fattibilità di un’opera fino alla sua messa in servizio. Per mettere in pratica quanto sopra detto ha stabilito delle specifiche prescrizioni di appalto che prevedono sostanzialmente che l’appaltatore sviluppi, per le attività di cantiere, un sistema di gestione qualità (dal 1992, e obbligatorio per legge dal 1997 con la legge sui lavori pubblici), ambientale (dal 2001) e di salute e sicurezza del lavoro (dal 2009) per tutta la durata di realizzazione delle opere e che tali sistemi sia- AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 16 te m a 16 ❙ Il Mestiere del Valutatore ❙ codificata per l’identificazione delle non conformità a partire dalle evidenze raccolte e la loro registrazione e conservazione sistematica; ✎ valutazione del livello di implementazione dei sistemi gestionali degli appaltatori misurato sulle non conformità e conformità rilevate, per la costruzione di un tableau de bord da mettere a disposizione della Direzione aziendale; ✎ una campagna di comunicazione verso gli appaltatori atta a significare le nuove intenzioni, promuovendo l’autocontrollo dell’appaltatore e richiedendo sistematicamente nell’audit se effettua o meno azioni di verifica dei requisiti del sistema gestionale approntato e, qualora fosse necessario, di miglioramento. ✎ documentazione, durante l’audit, di tutto quanto riscontrato, raccogliendo ed allegando le relative evidenze ed i requisiti di sistema non indagati con la motivazione di tali limitazioni. ✎ identificare ed elaborare Non Conformità (NC) sui sistemi indagati durante l’audit, partendo anche dalle NC di prodotto riscontrate. ✎ prestare maggiore attenzione nell’attribuzione della NC riscontrata al punto della/e norma/e corrispondente/i, raggruppando più evidenze relative ad uno stesso requisito (prevedere nell’audit una sola NC per ogni requisito non soddisfatto ovvero per ogni requisito correlato se l’audit è combinato). ✎ Standardizzare le descrizioni dei rilievi dell’audit indicando nell’ordine: - punto della norma e/o punto contrattuale di riferimento a cui l’organizzazione del cantiere è risultata non conforme; - formulazione della NC rispetto al punto della norma indicato, correlando i punti di più norme relativi allo stesso requisito se l’audit è combinato; - descrizione/referenziazione delle evidenze oggettive delle NC rilevate; ✎ Comunicare immediatamente all’appaltatore durante le fasi di audit e nel luglio/agosto 2011 rapporto, le NC riscontrate sia sul prodotto che sui processi o che provocano o possono provocare impatti ambientali e/o pericoli per la salute e sicurezza sul lavoro affinché possa essere eseguito tempestivamente l’intervento necessario. ✎ Richiedere sistematicamente all’appaltatore di esplicitare l’analisi delle cause delle NC e farne oggetto di valutazione verificando in seguito l’efficacia del trattamento/correzione e/o Azione Correttiva (AC) in relazione alla analisi delle cause effettuata. ✎ Nell’ambito del supporto al DL esprimere un giudizio di rispondenza alle prescrizioni contrattuali delle azioni correttive predisposte dall’appaltatore (analisi cause, tempi, responsabilità) focalizzando l’attenzione sulla verifica dell’efficacia delle stesse attraverso i follow up. ✎ Intensificare i follow up per verificare l’efficacia delle AC proposte dall’appaltatore e l’effettivo miglioramento del sistema con particolare attenzione al fatto che siano state prese in considerazione le osservazioni per il miglioramento formulate in sede di audit. ✎ Migliorare gli standard per la redazione del Rapporto di Audit (RdA) e del commento al PAC, per renderli più completi ✎ Prevedere audit straordinari con minimo preavviso. Tale prescrizione sarà esplicitamente riportata nelle prescrizioni contrattuali. ✎ Accertare che l’appaltatore ed i suoi fornitori, subappaltatori abbiano rinnovato la certificazione secondo i nuovi requisiti normativi (es. UNI EN ISO 9001:2008 scaduta il 15/11/2010). ✎ descrivere le azioni messe in atto e i nuovi comportamenti da adottarsi in una Linea Guida emessa a fine 2010 e operativa a partire dal 2011. La linea guida è finalizzata al miglioramento dell’efficacia dell’attività di audit di “parte seconda” sui sistemi gestionali qualità, ambiente e sicurezza implementati secondo le prescrizioni contrat- tuali dagli appaltatori General Contractor e Contraenti Generali, alla definizione ed applicazione di uno strumento per l’utilizzo dei risultati degli audit stessi al fine di valutare il livello di implementazione dei sistemi gestionali analizzati ed a stabilire le modalità di interfaccia con l’appaltatore/GC/CG ed il team di commessa. Il ruolo di Responsabile del Gruppo di Audit (RGA) può essere svolto dal QE di riferimento della commessa o da altro QE appositamente incaricato. Per la buona riuscita dell’audit, ad integrazione di quanto scritto nella specifica tecnica PPA.000669, il GdA è tenuto a: ✎ Accertare che l’appaltatore auditato possegga la certificazione UNI EN ISO 9001:2008 che includa il cantiere/il sito/l’attività verificata comprese le attività date in outsourcing ✎ Esaminare e valutare preliminarmente i documenti del SGQ, SGA, SGS dell’appaltatore, ultima versione inviata/approvata; ✎ Esaminare le risultanze dell’ultimo audit e degli audit svolti dall’ente di certificazione sul sito/ cantiere/attività, il loro stato di risoluzione e verificare se compatibili con la fase in cui si trova l’appalto; ✎ Esaminare e tenere a riferimento le prescrizioni del contratto di appalto/ affidamento; ✎ Esaminare le precedenti istruttorie effettuate sui documenti di SGQ, SGA, SGS; ✎ Esaminare i precedenti verbali di sopralluogo effettuati dal personale a supporto della DL per le problematiche ambientali e di salute e sicurezza; ✎ Esaminare i documenti e le registrazioni dell’appalto inerenti l’oggetto della verifica (report, ODS, programmi delle lavorazioni); ✎ Promuovere ed effettuare incontri di approfondimento con gli esperti tecnici (DL/SL, UO A&A, Costruzioni) in preparazione all’audit in cui verranno analizzati gli obiettivi dell’audit, decise le azioni necessarie e confermati i ruoli; www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 17 17 ❙ Audit integrati: l’esperienza di Italferr ❙ ✎ classificazione della NC ✎ misurare e registrare le prestazioni a sopralluogo preventivo in cantiere per conoscere le aree, le interferenze e le lavorazioni in atto, per ottimizzare la pianificazione dell’audit. Eventualmente fare foto preliminari, da allegare alla documentazione di supporto all’audit; ✎ Predisporre una lista di riscontro di guida all’audit integrato sulla base degli obiettivi dell’audit. Può essere utilizzato lo standard definito, integrato o ridotto in relazione alla specificità delle prescrizioni contrattuali e degli obiettivi stabiliti per l’audit (Allegato 4); Per le verifiche ispettive esterne, il Piano di Audit sarà predisposto sulla base di quanto indicato nella Linea Guida UNI EN ISO 19011 e sarà completo di: ✎ Codice e descrizione della commessa di riferimento; ✎ Indicazione dei sistemi gestionali indagati ✎ Tra i criteri dell’audit elenco, e qualificazione dei documenti di riferimento per l’audit (codifica, revisione o nota di trasmissione); ✎ Tabella di correlazione tra punti delle diverse norme di riferimento da verificare nell’audit, quando viene svolto integrato ; ✎ Indicazione della necessità della presenza dei responsabili delle attività/processi oggetto dell’audit, senza i quali lo stesso non può essere svolto; ✎ Richiesta all’appaltatore di mettere a disposizione tutti i mezzi e le risorse necessarie per il raggiungimento degli obiettivi dell’audit. ✎ Annotazione per l’appaltatore che l’elenco dei punti della norma oggetto della verifica potrebbero subire variazioni in funzione dell’andamento dell’audit. Per pervenire ad una standardizzazione dei risultati dell’audit si rende necessario definire una linea comune per la corretta formulazione del rilievo sulla base di: ✎ individuazione del requisito contrattuale o delle norme di riferimento non soddisfatti ✎ formulazione del rilievo dell’audit seguito di attuazione dell’AC; ✎ valutare che l’AC messa in atto sia efficace; ✎ riesaminare periodicamente l’efficacia complessiva del sistema di gestione delle NC e delle AC. La NC di sistema individuata a seguito dell’analisi di una o più NC di prodotto è una NC importante dato che ha già causato delle conseguenze evidenti sul prodotto e un’efficace AC sul sistema eviterà il ripetersi di tale NC. CASO 3- Nel caso in cui non vi sia la possibilità di approfondimento, se si riscontra una NC di Prodotto e non si può ricondurre ad una NC di Sistema, essa sarà attribuita al requisito non soddisfatto di conduzione operativa (4.4.6) per il SGA ed il SGS, produzione ed erogazione del servizio (7.5) per il SGQ. Questo tipo di NC sarà gestita dall’appaltatore in virtù dell’analisi delle cause che effettuerà, secondo le modalità contrattuali di gestione delle NC: Il DL/SL con il supporto del RGA si deve assicurare che l’appaltatore/CG/GC effettui comunque l’analisi delle cause e che sia descritta nel PAC; in relazione all’esito sarà proposto un trattamento/correzione o una AC. Nel primo caso saranno trattate come tutte le altre NC di prodotto secondo il contratto e le procedure gestionali condivise tra DL/SL e appaltatore/CG/ GC, nel secondo ai fini della gestione del processo da parte dell’appaltatore diventa a tutti gli effetti una NC di Sistema, ed il DL/SL con il supporto del RGA deve assicurare che vengano messe in atto le stesse azioni del caso precedente. Oltre che nel PAC, l’intervento eseguito, il trattamento/correzione, la risoluzione e l’evidenza della chiusura delle NC di prodotto rilevata nell’audit, sia singolarmente che come evidenze di NC di Sistema, dovranno necessariamente comparire sul registro delle NC dell’appaltatore che il DL/SL terrà sotto controllo anche con il supporto del RGA e di UO A&A durante ispezioni in campo, durante l’analisi del PAC e nella verifica di monitoraggio, andando a costituire le evidenze della efficienza e tempestività www.aicq.it Durante l’audit, a seguito di esame di documentazione, interviste, ispezioni di luoghi e lavorazioni, emergono evidenze oggettive riguardanti fatti, comportamenti, requisiti, risultati di lavorazioni conformi o non conformi a: a. requisiti dei sistemi gestionali b. specifiche tecniche, prescrizioni contrattuali, prescrizioni di legge e prescrizioni da parte degli enti interessati. Tali situazioni, riscontrate in contraddittorio con l’appaltatore, devono essere annotate ed andranno a costituire le evidenze dell’audit, sulla base delle quali, se non conformi, saranno formulati eventuali rilievi. I rilievi dell’audit possono essere classificati in “NC di Sistema” o “NC di prodotto” in relazione a quanto definito nella “Procedura per la Gestione delle Non Conformità Esterne“. CASO 1- Se si riscontra direttamente una NC di Sistema, nel Rapporto di Audit si classifica come tale e si riferisce al punto della norma interessato. Per tale NC dovranno essere ricercate le cause e proposte dall’appaltatore CG/GC le opportune AC con l’emissione del PAC. CASO 2- Se si riscontra che una o più NC di prodotto rilevate possono essere attribuite ad un problema sul Sistema gestionale esse andranno a costituire le evidenze di una NC di Sistema, pertanto in relazione alle prescrizioni contrattuali devono essere richieste all’appaltatore le seguenti attività: ✎ intervenire per ripristinare la singola conformità di prodotto, mitigare l’impatto ambientale , scongiurare il pericolo e dare evidenza di ciò attraverso gli strumenti contrattuali di gestione delle NC di prodotto; ✎ analizzare il motivo per cui è potuto accadere un insieme di eventi non conformi relativi ad uno stesso requisito; ✎ accertarne la causa di origine; ✎ individuare l’azione correttiva che, messa in atto, faccia sì che la causa sia rimossa e l’evento non si ripeta; ✎ attuare la AC; luglio/agosto 2011 te m a ✎ Ove ritenuto necessario effettuare un AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 18 te m a 18 ❙ Il Mestiere del Valutatore ❙ con cui l’appaltatore è intervenuto per ripristinare la conformità ai requisiti. Se la NC rilevata determina un problema contingente nell’utilizzo, realizzazione e rilascio del prodotto, un impatto ambientale od un pericolo per la salute e sicurezza dei lavoratori, essa deve essere segnalata immediatamente dal GdA all’appaltatore che dovrà attivarsi tempestivamente. La formulazione preliminare delle NC sarà effettuata durante la riunione del GdA e condivisa con la Direzione dell’appaltatore nella riunione finale, pertanto sarà necessaria la partecipazione di tutto il GdA al completo, compresa la DL e gli specialisti di UO A&A e Costruzioni per il presidio tecnico normativo. Nel caso le risultanze incidano sui tempi e costi dell’appalto deve essere interpellato il PM ed invitato a partecipare alla riunione finale. A conclusione dell’attività ispettiva i rilievi dell’audit devono essere condivisi per quanto possibile dall’appaltatore. Nella riunione finale è opportuno che l’RGA chiarisca le modalità con cui dovranno essere gestite le NC presenti nel rapporto di audit in funzione delle prescrizioni contrattuali dello specifico appalto. Il rapporto di audit, oltre alla raccolta delle descrizioni dei rilievi dell’audit o Non Conformità associate, deve contenere tutte le informazioni utili a qualificarlo ed a valorizzarne l’utilizzo. Oltre alle informazioni generali già stabilite (campo, obiettivi, criteri, partecipanti, etc.), particolare attenzione deve essere posta nella redazione della premessa e nelle conclusioni. I contenuti minimi della premessa: ✎ contesto generale nel quale opera il cantiere, specificità delle prescrizioni progettuali e di appalto, criticità e soluzioni di carattere generale messe in atto in materia di qualità, ambiente e sicurezza. ✎ condizioni logistiche e meteo incontrate, livello di disponibilità delle controparti all’avvio dell’audit, conferma o modifica del piano di audit, aree non indagate e/o campionamen- luglio/agosto 2011 ti ridotti e motivazioni. I contenuti minimi delle conclusioni: ✎ sintesi delle risultanze dell’audit con riferimento alle NC contenute nel rapporto di audit accompagnata da un sintetico giudizio sull’applicazione del sistema e sul livello di efficacia riscontrata; ✎ indicazione, come aspetti particolarmente critici, delle NC ripetitive e di quelle rimaste aperte e già rilevate negli audit precedenti; ✎ eventuali problematiche riscontrate durante l’audit (interruzione dell’audit per l’assenza dei responsabili, non condivisione delle risultanze, controversie con l’appaltatore e divergenze di opinioni…); ✎ precisazione che le NC di prodotto riscontrate durante l’audit, siano esse rilevate singolarmente o a supporto di NC di sistema, dovranno essere gestite secondo le prescrizioni contrattuali; ✎ segnalazione eventuale della gravità di alcuni rilievi raccomandando urgenze risolutive; ✎ richiesta all’appaltatore del PAC nei tempi contrattuali previsti i cui contenuti sono riportati al par. II.5. Quando tali contenuti saranno inseriti negli standard contrattuali, tale prescrizione sul rapporto potrà essere omessa; ✎ indicazione che la verifica dell’efficacia delle AC attuate sarà effettuata attraverso opportune verifiche ispettive di monitoraggio; ✎ best practice ed i miglioramenti riscontrati ✎ annotazione circa le caratteristiche di riservatezza del rapporto. Il RGA deve verificare che il PAC dell’appaltatore abbia i seguenti contenuti minimi associati alle singole NC : ✎ la proposta di trattamento/correzione della NC e tempistica di attuazione; ✎ l’analisi della causa delle NC ed eventuale riformulazione della NC di sistema; ✎ la proposta di AC relativa; ✎ la tempistica di attuazione dell’AC; ✎ la struttura responsabile dell’attuazione dell’AC; ✎ azioni che l’appaltatore intende in- traprendere per migliorare le aree in cui sono state fatte osservazioni con l’indicazione dei tempi e delle responsabilità. Per le NC rimaste aperte dopo uno o più follow up, se è necessaria una nuova AC, esse devono seguire l’iter sopra citato, se invece resta valida l’AC precedente, va riportata ed individuata una nuova data di attuazione (eventualmente già condivisa in sede di follow up). Il RGA esprime un giudizio di rispondenza alle prescrizioni contrattuali delle azioni correttive predisposte dall’appaltatore (analisi cause, tempi, responsabilità) focalizzando l’attenzione sulla verifica dell’efficacia delle stesse attraverso i follow up. Si possono presentare alcuni dei seguenti casi in cui si dovrebbe dare un giudizio negativo sull’AC proposta dall’appaltatore: ✎ se non sono presenti tutti i contenuti minimi di cui sopra; ✎ se viene contestata una NC dall’appaltatore senza che abbia fornito adeguate evidenze; ✎ se viene interpretata non correttamente la NC. Il RGA esegue l’istruttoria del PAC valutando se le AC pianificate sono coerenti con i rilievi . I commenti al PAC del RGA vengono forniti ed illustrati al DL/SL/PM che definisce le azioni successive da effettuarsi nei confronti dell’appaltatore. Il RGA deve inviare al DL il documento di commento del PAC condiviso con il GdA al massimo entro 15 gg dal ricevimento da parte del RGA del PAC medesimo e non oltre la tempistica richiesta da DL/SL in funzione di eventuali tempi di risposta contrattuali esistenti. All’interno del programma di audit, che annualmente viene predisposto e riesaminato, si deve definire un ciclo di audit, per ciascuna commessa che sia stata individuata per soddisfare gli obiettivi del programma. Il ciclo di audit dovrebbe avere generalmente durata annuale nel cui arco temporale si dovranno prevedere le seguenti fasi: ✎ audit sul sistema dell’appaltatore www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 19 19 ❙ Audit integrati: l’esperienza di Italferr ❙ ✎ 1° follow up entro 6 mesi dall’appro- Direzione attraverso il PM, il Responsabile della Qualità o i Responsabili di altre strutture interessate. Il bilancio sarà riportato sul report periodico delle attività del QE utilizzato come informazione di base per le aree di indagine di un nuovo ciclo di audit. Quando le NC rilevate sono ritenute molto critiche per la qualità dei processi verificati, l’RGA può pianificare un follow-up più ravvicinato rispetto alla previsione standard. Vista la contingenza delle attività e delle lavorazioni presenti in cantiere, senza aspettare i tempi di risposta previsti per ricevere un PAC, nel caso vi siano NC di prodotto che manifestano un impatto diretto sulla qualità del prodotto realizzato e/o diretto o potenziale sull’ambiente o la sicurezza e salute del lavoro, il RGA supporterà il DL nel valutare le evidenze della attività svolta dall’appaltatore per risolvere la conformità . In alternativa il RGA potrà partecipare a sopralluoghi congiunti della DL e degli esperti tecnici incaricati dalle UO Ambiente e Archeologia e UO Stan- dard e Metodologie per la Sicurezza, per verificare lo stato di risoluzione di tali NC di prodotto e l’efficacia degli interventi di ripristino. In tal modo si intende ottenere che: ✎ tale intervento contribuisca a garantire la tempistica annuale prefissata del ciclo di audit; ✎ non vi siano situazioni di risoluzioni di NC non riscontrabili più in cantiere per modifiche al suo assetto (localizzazione ed attività delle risorse del cantiere) e diminuisca l’indice di permanenza delle NC; ✎ i soggetti preposti al controllo (appaltatore, DL, UO A&A e UO SSM) focalizzino la necessità di azioni correttive efficaci per evitare il mantenersi nel tempo di tali situazioni di non conformità o il loro ripetersi tal quali. Si mantenga sempre alta la soglia di attenzione sugli aspetti puntuali riscontrati che possono essere sintomo di una carenza sull’attuazione del sistema gestionale. Seconda parte dell’articolo sulla prossima uscita di Qualità CENTRO INSULARE – Roma delle commesse. Applicazioni della norma - Applicazione pratica dei modelli per la pia- http://www.aicqci.it UNI ISO 10006 nificazione della qualità, la customer safisfac- 15-16 settembre 29-30 settembre tion e la gestione degli SLA nella progettazio- Performance Management & Improvement: - Corso di formazione per i Datori di Lavoro ne ed erogazione dei servizi informatici dal SGQ al governo delle prestazioni che svolgono la funzione di RSPP 7 ottobre 19-21 settembre - Sistemi di Gestione Ambientale: norme serie La UNI EN ISO 9004:2009 Misure e analisi per il decision making azien- ISO 14000 e Regolamento EMAS 10-12 ottobre dale: il Benchmarking 3 ottobre - Corso 40 ore Audit interni sui Sistemi di Ge- 26-28 settembre - Introduzione al Software Measurement (in stione per la Qualità Autovalutazione e miglioramento nella Pub- collaborazione con Engineering) - CAF Excellence Assessor blica Amministrazione con il modello di ec- - Applicazioni pratiche: politica, riesame della 13 ottobre cellenza CAF Direzione e indicatori di prestazione Supply Chain Management 26-27 settembre 3-5 ottobre 13-14 ottobre Sistema di Gestione Ambientale: normativa e La norma UNI EN ISO 9001:2008 e i Sistemi Corso 40 ore Audit interni di Sistemi di Gestio- legislazione cogente di Gestione per la Qualità ne per la sicurezza 27 settembre 4-5 ottobre 14 ottobre Concetti generali sulla qualità dei servizi e in- Strategic Management: Corporate & Business Collana norme SOFTWARE di riferimento Mo- terpretazione dei requisiti della norma ISO/IEC Strategies dulo 1 : Il quadro normativo e l'interpretazio- 20000-1 6-7 ottobre ne dei requisiti UNI EN ISO 9001:2000 nelle 28 settembre - Sistemi di Gestione per la Sicurezza: la nor- aziende software secondo la guida ISO/IEC Project Management e SGQ nella gestione ma BS OHSAS 18001:2007 90003 luglio/agosto 2011 c o rs i Per l’attività formativa, ove non indicata, si rimanda al sito internet delle Federate o ai contatti presenti a pag. 1 www.aicq.it te m a vazione del PAC ✎ 2° follow up (se necessario) entro 3 mesi dal 1° Nel rispetto delle prescrizioni contrattuali in essere e future, i tempi di emissione dei documenti relativi al ciclo di audit saranno i seguenti: ✎ predisposizione ed invio del piano di audit al DL/SL almeno 15 gg prima della data dell’audit. In caso di audit straordinari il preavviso può essere minimo di 2 giorni. ✎ invio del Rapporto di Audit al DL entro 15 gg dalla sua effettuazione; Invio dei commenti al PAC da parte dell’RGA al DL entro 15 gg dal ricevimento dello stesso. Al termine di ogni ciclo di audit è necessario effettuare un bilancio sulle NC risolte e quelle rimaste aperte. Se NC dello stesso tipo si ripetono o permangono nel tempo senza avere soluzione, o si rileva la non efficacia delle AC messe in atto, l’RGA riporta la criticità nelle conclusioni del rapporto di follow up. Il RGA riferisce la particolare criticità alla AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 20 te m a 20 ❙ Il Mestiere del Valutatore ❙ >> Ing. Mori Pieraldo Dirigente di Azienda, Rappresentante della Direzione per Sistemi di Gestione Qualità (ISO/TS 16949IRIS)- Sicurezza - Ambiente. Formatore. Auditor AICQ-SICEV Ing. Gallo Giorgio Vicepresidente del Comitato Normativa e Certificazione Sistemi Gestione Qualità, formatore e consulente sui Sistemi di Gestione, auditor AICQ-SICEV Influenza sul valore aggiunto degli audit stessi Gli approcci relazionali alla valutazione degli auditor Le tipologie, le caratteristiche, le maschere, l’auto analisi di due persone con esperienze e professioni diverse, che si confrontano e fanno alcune ironiche considerazioni. Attraverso l’auto ironia scopriamo i meccanismi perversi che influenzano l’attività quotidiana. Le maschere e il valore aggiunto che questa professione può fornire rapportandosi correttamente e professionalmente con il cliente. Quanti sono i personaggi che interagiscono con noi, quante maschere vengono indossate e cambiate a seconda della situazione e dell’esperienza da vivere o vissuta. Siamo forse uno - nessuno o centomila? Premessa L’audit è uno dei processi pianificati per la sorveglianza dei sistemi di gestione. Ha come scopo principale la valutazione dell’applicazione del sistema di gestione stesso e dei relativi criteri, dell’efficacia e, se richiesto e pianificato, anche dell’efficienza del sistema di gestione. Sono concetti triti e ritriti, magari ovvi, ma che si ritiene ancora una volta di richiamare al fine di approfondire alcuni degli aspetti che caratterizzano il processo di audit. L’auditor è il soggetto principale del processo, si potrebbe dire che è “l’apparec- luglio/agosto 2011 chiatura di misura” della valutazione qualitativa ad esso associata. Per tale motivo, gli enti di normazione hanno ritenuto necessario e si sono preoccupati di emanare linee guida per lo svolgimento dell’audit, ma anche per le competenze necessarie per condurre audit e per la valutazione delle prestazioni e delle competenze degli auditor stessi: la norma UNI EN ISO 19011 Ed. 2003 attualmente in vigore, revisione delle precedenti norme ISO 10011 e 14010. Gli auditor La Linea Guida ISO 19011 indica sia le caratteristiche personali che le competenze di uno degli attori principali dell’audit, l’auditor. Richiede, nei vari requisiti del par. 7, che un auditor abbia le seguenti caratteristiche [Fig. 1]: a) rispettoso dei principi etici; b) di mentalità aperta; c) diplomatico; d) dotato di spirito di osservazione; e) perspicace; f) versatile; g) tenace; h) risoluto; i) capace di agire e comportarsi in maniera autonoma. Inoltre, a un auditor si richiederebbe che fosse in grado di: ✎ pianificare l’audit e utilizzare le risorse necessarie; ✎ rappresentare il committente nei con- fronti dell’organizzazione oggetto dell’audit ✎ organizzare e guidare i membri del gruppo di audit; ✎ addestrare gli auditor in training; ✎ guidare il gruppo di audit a raggiungere le conclusioni dell’audit; ✎ prevenire e risolvere i conflitti; ✎ preparare e completare il rapporto di audit. Gli auditor dovrebbero avere istruzione, esperienza di lavoro, formazione e addestramento, e l’esperienza di audit: a) dovrebbero aver un grado di istruzione adeguato ad acquisire le conoscenze e le competenze descritte in 7.3. b) dovrebbero avere acquisito un’esperienza di lavoro che abbia contribuito allo sviluppo delle conoscenze e delle competenze descritte in 7.3.3 e 7.3.4. L’esperienza di lavoro dovrebbe essere maturata in una posizione tecnica, gestionale o professionale che permetta l’esercizio nella capacità di giudizio, nella soluzione di problemi e nella comunicazione con altro personale avente incarichi gestionali o professionali, con persone di pari livello, con clienti e/o con altre parti interessate. Parte dell’esperienza di lavoro dovrebbe essere maturata in una posizione nella quale le attività svolte contribuiscano allo sviluppo delle conoscenze e delle competenze: www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 21 ❙ Gli approcci relazionali alla valutazione degli auditor ❙ ✎ nel campo della gestione per la qualità per auditor di sistemi di gestione per la qualità, e ✎ nel campo della gestione ambientale per auditor di sistemi di gestione ambientale. c) dovrebbero aver completato con esito efficace la formazione e l’addestramento come auditor che permetta lo sviluppo delle conoscenze e delle competenze descritte in 7.3.1, 7.3.3 e 7.3.4. Tale formazione ed addestramento possono essere erogati dall’organizzazione stessa da cui dipende la persona o da un’organizzazione esterna. d) dovrebbero aver acquisito esperienza di audit nelle attività descritte in 6. Questa esperienza dovrebbe poter maturare sotto la direzione e la guida di un auditor che abbia le competenze di responsabile di gruppo di audit nella stessa disciplina. Gli Organismi di Certificazione sono molto impegnati nel cercare di rispettare i requisiti, sopra indicati e riassunti, contenuti nella Linea Guida ISO 19011. Le interpretazioni dei requisiti sono contenuti nelle procedure degli Organismi stessi, in forma di rigida riscrittura dei requisiti di riferimento, mentre nell’applicazione pratica le procedure vengono molto spesso deformate ed attuate con alcune semplificazioni. Le Linee Guida non sono sempre applicate, riflettono dei compromessi tra i desiderata e la necessità di far quadrare il quadro economico di gestione del business della certificazione. www.aicq.it Considerazioni In letteratura, raccontava un vecchio docente di liceo, si inventano i personaggi, si inventano i “tipi”; non sono persone specifiche, ma inaspettatamente siamo noi tutti. Le situazioni in cui i personaggi di turno vengono implicati fanno emergere i tratti psicologici e caratteriali, le emozioni ed i comportamenti che avrebbe ognuno di noi, se inserito nella stessa identica situazione o in un analogo contesto relazionale. L’efficacia del processo di auditing è funzione di molti fattori, per questa volta vorremmo discutere di quello specificatamente umano e relativo all’attore principe e cioè all’auditor. “Sarò responsabile di quello che dico, certamente non di quello che viene compreso”, ma non potrò non tenere conto di come la mia immagine possa apparire agli occhi dell’interlocutore di quel momento; non potrò nemmeno dimenticare di verificare ciò che il ricevente della comunicazione ha inteso e magari modificare il mio messaggio, non potrò non tentare di mettere a punto il linguaggio utilizzato. Questo è lo scopo ultimo degli autori; il lettore probabilmente sorriderà e sicuramente vedrà proiettato, nello specchio della propria vita, parte della sua immagine. Una volta sbagliato l’approccio, sarò in grado di modificare la percezione e quindi la mia immagine in una fase successiva? Se la percezione della mia persona è stata negativa, potrò mai riprendere in mano la situazione, essere riconsiderato positivamente e ricondurre il gioco delle parti in una ottica corretta e di reciproco interesse? luglio/agosto 2011 te m a > Fig.1 Il problema, che sussiste ed è di difficile soluzione, risulta essere il rapporto con i clienti e il saper cogliere le opportunità di miglioramento dei loro sistemi di gestione, spesso solo abbozzati e non consolidati nell’approccio al m i g l i o ra m e n t o continuo e nella tenuta sotto controllo dei processi. Per le ragioni sinteticamente indicate, mi sembra di percepire nella clientela una stanchezza di fondo e una carenza di fiducia sulla possibilità che gli audit riescano a monitorare, ma soprattutto a dare effettivi suggerimenti per i miglioramenti necessari e possibili dei sistemi di gestione in corso di valutazione. Con il collega, che mi affianca in questo percorso di analisi critica, cercheremo di capire quali sono le sensazioni vissute dagli attori coinvolti nei processi di audit attraverso il tentativo, da parte di “ … ignoranti … in materia di psicologia …”, di interpretare gli atteggiamenti e le reazioni generate nel contesto relazionale. 21 AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 22 te m a 22 ❙ Il Mestiere del Valutatore ❙ Le maschere Alla luce del ragionamento appena svolto, cercheremo di descrivere, tramite l’analisi critica degli atteggiamenti, le tipologie, le maschere [Fig.6], i vari comportamenti vissuti in prima persona sia come auditor che come persone che subiscono l’audit. Il tema è difficile da svolgere; il rischio di essere banali è grande, inoltre potremmo essere considerati irrispettosi nei confronti di tanti colleghi conosciuti. Una cosa è certa, gli autori hanno voluto in questo modo guardarsi allo specchio e proiettare la propria immagine, scorrendo nei ricordi, ritornando con il pensiero agli inizi della carriera professionale e osservando criticamente i propri comportamenti. Sia chiaro, tutte le maschere descritte sono frutto di lavoro personale, su noi stessi, analizzando e tentando di migliorare il proprio approccio nell’attività professionale. Questa è la sfida, buona lettura. I tipi - i soggetti Il tipo inquisitorio. Il termine evoca l’inquisizione, l’interrogatorio e l’inchiesta condotti arbitrariamente usando pressioni psicologiche; per meglio dire, violenza subdola, tortura e sofferenza nel corpo e nella mente. Potrebbe anche significare più positivamente, voler sottoporre qualcuno ad una indagine, condurre ricerche per scoprire la verità. Nelle fasi iniziali dell’audit spesso ci siamo trovati spiazzati, sia dall’atteggiamento di chiusura dell’interlocutore, sia dal linguaggio e dal comportamento di chi conduce la verifica. Importante sarebbe riuscire a preparare psicologicamente il soggetto con il quale interloquire, evidenziando la sua posizione come quella di un collaboratore, di chi conosce bene il suo lavoro, che aiuta e supporta un progetto importante, collaborando e operando in una direzione co mune e importante per entrambi. “Non devi mai far sentire l’interlocutore colpevole di qualche cosa” queste parole luglio/agosto 2011 echeggiano come profezia, sono state profferite molto tempo fa da un grande maestro di vita e di professione. Sostanzialmente non cercare le colpe, trova le ragioni ! In alternativa, l’interlocutore attiverà tutte le sue difese e le chiusure, ed entrerà nel mutismo non solo fisico ma anche psicologico. La difficoltà prevalente nella raccolta delle informazioni, qualche volta anche la causa del suo fallimento, deriva spesso dalla presenza di obiettivi e stati psicologici troppo diversi tra interrogante ed interrogato, talora anche opposte volontà. Il tipo formale. Potrebbe essere colui il quale si cura solamente dell'apparenza, di qualcosa concernente solo la forma, l’aspetto esteriore. L’atteggiamento formale spesso viene svilito da un pessimo linguaggio del corpo, ancor di più da un sostanziale e sguaiato linguaggio paraverbale. Le convenzioni “esteriori” ci aiutano a coltivare virtù autentiche o sono semplicemente una maschera ? L’“estetica del carattere” potrebbe diventare utile nel lavoro di tutti i giorni, ciò significa capire come le buone maniere ci possano aiutare a crescere nella vita professionale in modo virtuoso. Dopo averlo incontrato per la prima volta il collega “formale” è ricordato da tutti con un certo piacere, quindi il primo incontro finisce con un discreto successo. Più avanti, dopo alcuni incontri, emerge spesso un leggero senso di sopportazione; ripensandoci, non farebbe male qualche cenno di simpatia, l’eccesso di rigidità formale evoca e risveglia quel certo non so che di appiattimento, di noia mortale; sostanzialmente un leggero disinteresse. Non si potrà pretendere nulla dalla vita se non un comportamento educato e professionale, ma chiediamoci: Perché non lasciarsi andare a poche considerazioni personali, a qualche battuta leggera e simpatica? Servirebbe tutto ciò ad alleggerire il clima e renderlo più attivo e funzionale allo scopo? Il tipo confidenziale – solidale. Il sogget- to è affabile, cordiale, spesso confidenziale. Potrebbe apparire “alla buona” e scarsamente disposto ad aprire una discussione o un contenzioso. Approva e condivide spesso, fa cenni con il capo, assentendo rivolto all’interlocutore del momento. Quest’ultimo si rilassa, gesticola un poco, si libera dei pesi e “confessa” le sue “magagne” e i suoi pensieri. Ecco il quadro ironico e divertente che descrive la scena: spesso l’interlocutore si accorge dell’inganno ma oramai è fatta, il nostro eroe ha ottenuto il suo risultato e alla fine ambedue si sentono contenti e soddisfatti. L’eccesso di confidenza appartiene ai tempi recenti, spesso si passa al “Tu” repentinamente. Lo stile disincantato e informale contraddistingue i nostri giorni, il dubbio che sia sopravvenuta qualche confusione di ruolo e di scopo sta maturando, non torneremo mai più all’uso del “Voi”, ma forse qualche “Lei” in più potrebbe non fare male? Sempre quel vecchio professore di liceo sosteneva che la forma qualche volta diventa sostanza…e se avesse avuto ragione? Il tipo consigliere – suggeritore e ispiratore. Il nostro collega spesso è avanti negli anni, molto bravo ed esperto; non deve fare carriera insomma! Mette ancora molto entusiasmo in quello che fa, non è soddisfatto dei risultati. È qualche volta confidenziale, non eccede nei complimenti e passa al sodo subito. Ad un certo momento, durante il colloquio si ferma e proferisce la solita frase, “adesso parliamo fuori dagli schemi e dai vincoli contrattuali”; nei successivi quindici minuti enumera una serie di suggerimenti e mette l’interlocutore nella condizione di risolvere problemi difficili e annosi, che sarebbero rimasti nel cassetto e non si sa per quanto tempo ancora. L’atteggiamento spesso è apprezzato, potrebbe apparire in alcuni rari casi eccessivamente “lezioso”; raramente impertinente. Il nostro amico non dice mai cose banali e scontate; cerca il termine corretto e l’approccio simpatico, in alcuni casi www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 23 ❙ Gli approcci relazionali alla valutazione degli auditor ❙ www.aicq.it che situazione si atteggia ad “amicone”. Alla fine, però, non transige su nulla e colpisce inesorabilmente con energia e convinzione: sui punti focali, nulla perdona ! E’ temuto e stimato dai più. Il tipo puntiglioso. Dimentica il contesto in cui si sta muovendo, ragiona per compartimenti stagni e quando gli viene la mosca al naso abbandona il tutto e prende in mano una singola cosa. Passa la sua giornata a discutere e puntualizzare, ripete e riassume il singolo caso capitatogli tra le mani. Spesso perde il senso del tempo e fa impazzire l’interlocutore. Non ascolta ragioni, vuole quello che lui ritiene corretto e a fronte di ragionevoli rimostranze non sente ragione. Sebbene in realtà sia competente e preparato, perde il lume della ragione. In qualche particolare frangente appare quello che viene definito poi dagli interlocutori un “noioso rompiscatole”. Spesso il giorno successivo si accorge dell’abbaglio preso, e dovendo recuperare il tempo perduto, si accanisce sul malcapitato di turno e pretende di vedere, quanto previsto nel piano di audit, nel breve tempo disponibile. E’ persona laureata e con famiglia, convince poco quando entra nel vortice del puntiglio e vuole sostenere fino alla fine la sua logica; fondamentalmente è un pessimo ascoltatore delle ragioni altrui. Conclusioni Relazionarsi in ogni dove, con interlocutori diversi e il più delle volte leggermente in difficoltà, potrebbe apparire attività non semplice e di scarsa soddisfazione. Tralasciando il contenuto tecnico di questo mestiere, che mediamente risulta significativamente consistente, dovremo rivalutare i contenuti umani e quelli di relazione. Spesso il cattivo carattere trasforma un “bravo” in un “mediocre”. Apparire mediocri non soddisfa nessuno degli interlocutori. Che sia poi vero? Si dice nell’ultimo periodo: anche nelle selezioni per assumere un manager si tengono maggiormente in considerazione le caratteristiche ”relazionali” rispetto alle pure e semplici competenze “tecniche”. Meglio una persona mediamente preparata, ma capace di fare squadra, rispetto al “genio o alla star” senza il minimo rispetto per l’altrui parere? Il nostri grandi vecchi dicevano: “chi possiede carattere, ne possiede uno mediamente pessimo”. Quali sono allora le caratteristiche in termini di approccio e di comunicazione da consigliare all’auditor che vuole affrontare il rapporto con la clientela in modo efficace ed efficiente, raggiungendo buoni risultati nella propria professione? Esistono molti testi e molti corsi di formazione in materia di comunicazione; cercheremo di sintetizzare alcuni concetti ricavati dalla letteratura sulla base delle nostre esperienze. Le persone che sanno costruire fiducia sono considerate persone che sanno rispondere ai bisogni interpersonali. Quindi: ✎ leggere rapidamente le persone per coglierne i bisogni interpersonali che le muovono. ✎ prevedere come gli altri reagiranno, per essere in grado di impostare una corretta strategia. ✎ scegliere le cose giuste da dire e da fare per ottenere subito l’attenzione ✎ instillare fiducia per sviluppare rapidamente sincere relazioni ✎ instaurare e mantenere rapporti che arricchiscono entrambi gli interlocutori ✎ creare un clima improntato alla trasparenza ed alla sincerità ✎ motivare e persuadere senza manipolare ✎ prevenire l’insorgere di possibili conflitti, imparando a riconoscere i segnali premonitori. Sinteticamente, lavorare molto su se stessi, periodicamente mettersi in discussione, frequentare corsi e ambienti in cui nulla sia abitudinario e predefinito. Pensare positivo, questa professione è indubbiamente stimolante, coltiviamola rendendola funzionale agli interessi delle imprese. Sicuramente, per la complessità e anche lunghezza dell’esposizione dell’articolo non siamo riusciti a sviluppare tutte le tematiche relazionali: diciamo che…ci abbiamo provato! luglio/agosto 2011 te m a esemplifica e costruisce rapidamente metafore. Al consulente di scarsa qualità ed inesperto appare come fumo negli occhi; il nostro eroe non vuole “apparire” consapevolmente, ma a livello inconscio spesso avviene ciò. In gioventù sarà stato un birichino o un timido; nel corso degli anni ha costruito certezze e metodologie che lo mettono a suo agio in ogni luogo. Probabilmente ha lavorato molto su se stesso, modificando il carattere e il comportamento con grandi sacrifici sulla sua persona. In alcuni casi è uomo di successo, ha smesso i panni del fustigatore e adesso preferisce quelli del suggeritore. Il tipo pieno di sé – il professore. Interloquisce spesso con termini importanti, scodella numeri e norme in grande quantità, gli sfugge di conoscere il tale e l’altro ancora; non si rende conto di stare al lavoro presso un cliente; fa apparire il suo interlocutore “piccolo”. Sovrappone il suo ego a quello di chiunque gli stia vicino, sovrappone il suo sapere a qualsiasi osservazione. Viene sostanzialmente sopportato da tutti, non è simpatico! In alcuni casi è certamente interessante averci a che fare, ma alla lunga stanca e non ottiene la collaborazione di nessuno. Questa maschera non è amata dal cliente; il soggetto potrebbe essere di grande aiuto; ma confonde le situazioni e non si chiede ragione dei comportamenti negativi di clienti e colleghi. E’ oggetto in qualche caso di derisione, induce al sorriso e la volta successiva con grande probabilità non ritorna. Il tipo finto buono. Il soggetto non disdegna di concedersi sprazzi di simpatia; rassicura l’interlocutore; consiglia e usa spesso terminologie molto appropriate. E’ mediamente preparato; anzi in alcuni casi è considerato da molti colleghi il più bravo. Non arriva a litigare frequentemente, spesso abbandona l’arena per disinteresse; non entra in polemica, ma esprime il proprio parere con franchezza. Conduce l’attività con attenzione e arriva velocemente alla conclusione, in qual- 23 AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 24 te m a 24 ❙ Il Mestiere del Valutatore ❙ >> Claudio Provetti Direttore Funzione Sistemi di Gestione, Ispezioni e Sicurezza ICT- IMQ S.p.A Claudia Piccolo Responsabile Area Security ICT - IMQ S.p.A Asset strategico nella Vision dell’Organizzazione Bus ine ss Continuity L’evoluzione storica dei requirements sulla continuità del business (business continuity) È stato di certo a partire dall’attentato terroristico dell’11 settembre 2001 alle Torri Gemelle di New York che si è avuta l’evidenza della necessità di adottare sistemi per la business continuity ed il disaster recovery e si è, di conseguenza, assistito ad un crescente sviluppo di leggi e normative in materia. Sebbene la spinta all’innovazione in tema di business continuity sia scaturita più dall’osservare direttamente (o peggio, subire) le conseguenze di un evento tragico che dalla capacità visionaria di imprenditori e manager, è ormai chiaro ad un numero sempre maggiore di aziende, appartenenti ai più svariati settori merceologici, che occuparsi di garantire nel tempo un adeguato livello di operatività e di sicurezza ICT non è da vedere solo come un costo. Questa consapevolezza è tanto maggiore per le aziende il cui business dipende in maniera significativa dal corretto e continuo funzionamento del proprio sistema IT o di quello di un outsourcer/for nitore “critico”. In alcuni settori di infrastrutture critiche (vedi tabella seguente), ad esempio nel finance o nelle utility, esiste da tempo maggiore sensibilità alla sicurezza ICT e alla continuità operativa: per le banche luglio/agosto 2011 o gli operatori di telecomunicazioni un disservizio, anche di durata contenuta in pochi minuti, ha un notevole impatto sul business. Al fine di salvaguardare la continuità di servizio della piazza finanziaria in caso di crisi di operatività, anche grave, è stato istituito a febbraio 2003 il gruppo di lavoro per la continuità di servizio del sistema finanziario italiano (CODISE) coordinato dalla Banca d'Italia d'intesa con la CONSOB, al quale partecipano i principali gruppi bancari e le società che gestiscono le infrastrutture di sistema rilevanti per il funzionamento del sistema finanziario. Il CODISE ha definito i principali obiettivi di ripartenza a carico degli operatori, che sono poi stati recepiti dalle Linee Guida in tema di continuità operativa emanate dalla Banca d'Italia nella seconda metà del 2004 (Luglio 2004 - Istruzioni di Vigilanza sugli Enti creditizi, Ottobre 2004 - Linee Guida dell'Ufficio Supervisione sui Mercati, Novembre 2004 - Linee Guida dell'Ufficio Sorveglianza sul Sistema dei Pagamenti). A marzo 2007, Banca d’Italia ha pubblicato le disposizioni di vigilanza per la continuità operativa per gli operatori finanziari definiti "processi a rilevanza sistemica": i processi ad alta criticità nel sistema finanziario italiano che, per un "effetto domino", possono provocare il blocco dell'operatività dell’intera piazza finanziaria nazionale si concentrano nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari. Tali disposizioni (la cui attuazione è stata richiesta entro il 2012 con un piano quinquennale graduale) definiscono requisiti aggiuntivi, e più stringenti, per le banche che hanno un ruolo predominante nel sistema finanziario, rispetto a quelli previsti per tutti gli altri intermediari: ✎ siti di recovery situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. ✎ tempo di ripristino (RTO – recovery time objective) dei processi a rilevanza sistemica con un livello di servizio predefinito contenuto entro le 4 ore ✎ perdita di informazioni (RPO – recovery point objective) pari o prossima a zero. Per l’AEEG (Autorità per l’energia elettrica e il gas), già da una decina di anni uno dei più importanti fattori di qualità del servizio di erogazione dell’energia elettrica e del gas è la continuità del servizio ovvero la mancanza di interruzioni nella fornitura al punto che, ogni anno, entro il 31 marzo, le imprese devono comunicare all'Autorità i dati di continuità del servizio relativi all'anno precedente, ossia una serie di informazioni relative al numero di interruzioni verificatesi e alla loro durata. Per migliorare la continuità e la qualità del servizio www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 25 25 ❙ Business Continuity ❙ Industria nucleare Tecnologie dell’informazione e della comunicazione (ICT) Acqua Alimenti Salute Finanze Trasporti Industria chimica Spazio Struttura di ricerca 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23) 24) 25) 26) 27) 28) 29) Produzione di petrolio e gas, raffinazione, trattamento, stoccaggio e distribuzione con oleodotti e gasdotti. Produzione e trasmissione di energia elettrica Produzione, stoccaggio/trattamento di sostanze nucleari Sistemi di informazione e protezione delle reti Sistemi di strumentazione, automazione e controllo (SCADA ecc.) Internet Fornitura di servizi di telecomunicazioni fisse Fornitura di servizi di telecomunicazioni mobili Radiocomunicazione e navigazione Comunicazione via satellite Diffusione radiotelevisiva Erogazione di acqua potabile Controllo della qualità dell’acqua Gestione e controllo della quantità d’acqua Approvvigionamento e sicurezza alimentare Cure mediche e ospedaliere Medicine, sieri, vaccini, prodotti farmaceutici Biolaboratori e bioagenti Infrastrutture e sistemi di pagamento e di compensazione e regolamento di titoli Mercati regolamentati Trasporto su strada Trasporto ferroviario Trasporto aereo Vie di navigazione interna Trasporto oceanico e trasporto marittimo a corto raggio Produzione e stoccaggio/trattamento di sostanze chimiche Pipeline per sostanze pericolose (sostanze chimiche) Spazio Struttura di ricerca > Tabella 1 - Elenco dei settori di infrastrutture critiche l'Autorità ha fissato standard di qualità unici nazionali e introdotto un sistema di incentivi e penali per le aziende fornitrici per cui chi supera gli obiettivi di qualità annui stabiliti riceve dei premi, chi non li rispetta viene sanzionato. Il Testo unico sulla Privacy (D. Lgs. 196/2003), entrato in vigore 1° gennaio 2004, include nell’allegato B un Disciplinare Tecnico in materia di misure minime di sicurezza, tra cui è prevista “l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi”, misura che introduce il tema del disaster recovery, in quanto il disciplinare obbliga ad “adottare idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi com- www.aicq.it patibili con i diritti degli interessati e non superiori a sette giorni” e obbliga a prevedere regole per il salvataggio dei dati con cadenza almeno settimanale. Per quanto riguarda la Pubblica Amministrazione (PA) le norme specifiche che la obbligano a garantire la Continuità operativa sono, oltre al Codice Privacy, l’Art. 97 della Costituzione, che enuncia il principio di buon andamento dell'amministrazione da rispettare anche se si utilizzano tecnologie ICT e il DPCM 31 maggio 2005 (G.U. 18 giugno 2005, n. 140) che nell’art. 3, lettera c) tratta degli obiettivi di miglioramento dell'efficienza operativa della pubblica amministrazione e di contenimento della spesa pubblica da raggiungere attraverso diversi tipi di interventi di razionalizzazione, tra i quali la creazione di centri di Conti- nuità Operativa anche comuni a più amministrazioni. Nell’ambito delle pubbliche amministrazioni centrali la legge finanziaria 2008 (LEGGE 24 Dicembre 2007 , n. 244) prevede, all’articolo 2 che al fine di garantire la disponibilità e la continuità dei servizi erogati dalle stesse amministrazioni, il CNIPA (ora DigitPA) identifichi idonee soluzioni tecniche e funzionali riguardanti, in generale, diverse amministrazioni, atte a garantire la salvaguardia dei dati e delle applicazioni informatiche nonché la continuità operativa dei servizi informatici e telematici, anche in caso di disastri e di situazioni di emergenza. Diverse sono le pubblicazioni in materia del CNIPA, tra cui citiamo: ✎ Quaderno n. 35: “La continuità opera- luglio/agosto 2011 te m a Energia AICQ_4.qxd:AICQ_ 18-07-2011 14:45 Pagina 26 26 ❙ Il Mestiere del Valutatore ❙ te m a tiva nella Pubblica Amministrazione”; ✎ Quaderno n. 28: “Linee guida alla continuità operativa nelle Pubbliche Amministrazioni”; ✎ Minigrafia “La continuità operativa nella Pubblica Amministrazione”. Lo stato attuale dell’assetto normativo (cogente e volontario) e dei servizi a questo correlati Per quanto riguarda le infrastrutture critiche, il 5 maggio 2011 è entrato in vigore il D. Lgs. 11 aprile 2011, n. 61 (GU n. 102 del 4-5-2011) che attua la Direttiva Europea 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione, con l’obiettivo di potenziare la sicurezza delle grandi infrastrutture degli Stati membri sia nel comparto energetico che in quello dei trasporti, nei confronti di azioni terroristiche o criminali e di aumentarne la robustezza rispetto a guasti accidentali ed eventi naturali. Questa legge è certamente un importante passo in avanti perché conferma che le infrastrutture considerate critiche per il Paese necessitano di una protezione maggiore che impone l’adozione di misure atte a contrastare tutte le possibili minacce e garantire la capacità di mantenere erogazione dei servizi essenziali alla popolazione. In base alla Direttiva, ogni “struttura” considerata critica dovrà avere un responsabile della sicurezza unico, che fungerà da punto di contatto per tutte le problematiche di sicurezza e di un ‘Piano della Sicurezza dell’Operatore’, che dovrà contenere una dettagliata analisi delle diverse minacce, vulnerabilità e, soprattutto, delle varie contromisure da adottare in funzione delle specifiche situazioni di rischio. Il nuovo Codice dell’Amministrazione Digitale (CAD) entrato in vigore il 25 gennaio 2011 prevede (art. 50-bis) che, entro il 25 aprile 2012, le PA, in relazione alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo delle tecnologie dell’informazio- luglio/agosto 2011 ne, predispongano appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività: è richiesto alle PA di predisporre sia il piano di continuità operativa, verificandone la funzionalità almeno con cadenza biennale, sia il piano di disaster recovery (parte integrante del piano di continuità operativa), che stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati (data center) e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione anche quando affidati ad outsourcer o fornitori esterni. È responsabilità delle PA verificare annualmente i piani di disaster recovery e dare evidenza del loro costante aggiornamento a DigitPA. Il prospect per “domani” nella vision dell’organizzazione lungimirante Se fino a ieri le imprese affrontavano i temi della sicurezza ICT e della Business Continuity in modo reattivo, solo e soltanto ad eventi avvenuti e a fronte di impellenti necessità di protezione dei propri asset, oggi si sta assumendo un atteggiamento proattivo orientato all’investimento considerando i suddetti temi come un vantaggio competitivo e addirittura come un “motore” per il business. Tra i fattori che hanno portato a questa nuova visione ci sono senz’altro: l’estensione in rete delle aziende, il successo di internet, intranet ed extranet, le opportunità derivanti dall’utilizzo di strumenti wireless e dalla possibilità di accedere alle risorse IT aziendali da remoto e in mobilità e l’utilizzo sempre più diffuso della posta elettronica mobile; stiamo parlando di un “mondo” nuovo e con nuove esigenze di protezione! Ecco perché si va affermando tra le aziende più illuminate l’atteggiamento di far rientrare tra le decisioni per la governance aziendale le pratiche per la sicurezza delle informazioni e per la continuità operativa. È fondamentale in ogni caso che ogni organizzazione valuti quali sono le proprie esigenze in termini di security ICT, identificando gli ambiti in cui ritiene opportuno dotarsi di strumenti adeguati; tutto a partire da un’analisi accurata delle proprie infrastrutture e applicazioni utilizzate e dei processi aziendali individuando, in particolare, quali tra essi possono essere definiti “critici” per garantire la continuità del business. È altresì fondamentale che l’azienda abbia chiaro qual è il livello di protezione che debba essere garantito e quale il livello minimo di servizio che ritiene debba essere ripristinato in un tempo ben definito a fronte di un “incidente” che potrebbe bloccare il business aziendale. Solo in questo modo è possibile definire il giusto compromesso tra gli investimenti richiesti e i livelli minimi di protezione e di servizio che si vuole garantire. Sicurezza ICT e Continuità Operativa rappresentano un binomio inscindibile e imprescindibile! Una strategia di business volta a salvaguardare le informazioni e i processi aziendali non può che passare dalla salvaguardia della continuità operativa del business: è inutile investire nella protezione dei dati se prima non si pensa a come garantire la fruibilità di questi dati per le proprie esigenze applicative quando e dove necessario! L’esigenza di governare i rischi sta crescendo ancora di più con il progressivo affermarsi del Cloud Computing, che prevede la possibilità di acquistare presso provider esterni i servizi IT di cui si ha bisogno, siano essi di tipo applicativo, elaborativo, di storage ed anche di sicurezza ICT, con gli evidenti vantaggi economici di un modello “as a service” (benefici fiscali di un noleggio rispetto al possesso, velocizzazione del time-to-market, riduzione dei rischi e della necessità di grossi investimenti infrastrutturali). Dal punto di vista della sicurezza aziendale e continuità del business, sono sempre più presenti sul mercato servizi che consentono l’esternalizzazione della gestione di alcuni aspetti o di interi www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 27 27 ❙ Business Continuity ❙ zione di terza parte del proprio Sistema di Gestione della Continuità Operativa. Tale norma, la cui implementazione risulta meno gravosa per aziende che hanno già attuato un Sistema di Gestione, consente di dare immediata evidenza, di: ✎ aver analizzato i propri processi, le proprie debolezze ed i rischi a cui potrebbe incorrere, identificando gli impatti derivanti per se, per i propri clienti e per tutte le altre parti interessate; ✎ aver, quindi, deciso di adottare delle contromisure adeguate per ridurre i rischi, mitigare gli impatti e poter ripristinare in tempi certi la propria capacità di erogare servizi/prodotti; ✎ aver effettivamente adottato queste misure, grazie ad audit periodici interni e ad esercitazioni periodiche, al fine di tendere miglioramento continuo del sistema implementato. In chiusura delle considerazioni sopra riportate, a stimolo per ulteriori riflessioni, si auspica che anche nel sistema paese Italia l’imprenditoria più accorta e lungimirante identifichi nella capacità di garantire la Continuità del Business, quella valenza strategica necessaria non solo per il mantenimento del proprio mercato ma anche per lo sviluppo dello stesso. Molto si deve imparare da altri sistemi paese in cui il vantaggio competitivo per le imprese nasce anche dalla predisposizione e divulgazione di strumenti normativi, legislativi e di controllo, con i relativi procedimenti certificativi, per promuovere e sostenere le politiche di sviluppo economico ed industriale sia a livello nazionale che internazionale. MERIDIONALE – NAPOLI http://www.aicq-meridionale.it 13 settembre Corso di formazione in materia di Sicurezza e Salute nei cantieri (durata 120 ore) 20-21 settembre Corso base sul Software Project Management. La gestione dei progetti software 22-23 settembre - La normativa ambientale e gli obblighi per le imprese: VIA, VAS, AIA, emissioni, scarichi idrici, gestione rifiuti, rumore - L’autovalutazione secondo il modello di eccellenza EFQM 25 settembre Introduzione ai Sistemi di Gestione della Sicurezza Informatica. La norma ISO/IEC 27001 za (contenuti conformi all’art. 32 del D.Lgs. esame finale” 27 settembre 81/2008, al DM 16/01/1997, all’ex D.Lgs. 195 6-7 ottobre Corso per addetti e responsabili della sicurez- 23/06/03) durata variabile in funzione dei set- La Metrologia e la Gestione della Strumenta- za (contenuti conformi all’art. 32 del D.Lgs. tori ATECO zione di Misura in ambito ISO 9000 81/2008, al DM 16/01/1997, all’ex D.Lgs. 195 3-5 ottobre 10-11 ottobre 23/06/03) MOD-A Corso ISO/IEC 20000 per Internal Auditor Corso introduttivo sugli standard volontari nel- 27-28 settembre 4 ottobre la filiera agroalimentare Corso per datori di lavoro che possono svolge- Introduzione ai Sistemi di Gestione dei Servizi IT 12-14 ottobre re direttamente i compiti propri del Responsa- 5-7 ottobre Corso per Valutatori Interni dei Sistemi di Ge- bile del Servizio di Prevenzione e Protezione Corso base per la conduzione delle Verifiche stione per la Sicurezza secondo la Specifica 3 ottobre Ispettive Interne per la Qualità secondo le nor- OHSAS 18001 e la Linea Guida UNI INAIL Corso per addetti e responsabili della sicurez- me ISO 9001:2008 ed ISO 19011:2002 “con “con esame finale” www.aicq.it luglio/agosto 2011 c o rs i Per l’attività formativa, ove non indicata, si rimanda al sito internet delle Federate o ai contatti presenti a pag. 1 te m a processi, per cui è evidente che è indispensabile potersi affidare a fornitori “trusted” in quanto qualificati e in grado di dare garanzie di aver implementato e di mantenere un sistema di gestione per la continuità operativa e per la gestione della sicurezza delle informazioni che dovranno risultare disponibili ai soggetti e alle applicazioni autorizzate ad accedervi per il loro intero ciclo di vita (o anche successivamente se necessario per rispondere a specifiche normative di legge). Oltre allo standard ISO/IEC 27001 che consente alle aziende di certificare il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) si ritiene importante ricordare che già da novembre 2007 è stata pubblicata la norma BS 25999-2, prima norma rispetto alla quale le aziende possono ottenere una certifica- AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 28 te m a 28 ❙ Rischi ❙ >> Ing. Domenico Faraglia AICQ-CI, Valutatore Senior IxI - Premio Qualità Italia Nelle norme ISO 9001:2008 ed EN 9100:2009 Il ri sk management Il contesto di riferimento La complessità del mercato globale in cui le aziende si trovano a competere è in costante crescita; tale evoluzione è influenzata principalmente da alcuni fattori, quali: riduzione del ciclo di vita dei prodotti, globalizzazione, concentrazioni di impresa, deverticalizzazione ed esternalizzazione delle attività non strategiche, gestione delle catene di fornitura, differenziazione e personalizzazione dei prodotti. L’aumento della competizione globale caratterizza lo scenario di mercato nel quale l’incertezza1 è l’elemento che si pone con maggiore forza all’attenzione di chi, all’interno di una organizzazione, deve formulare scenari, definire strategie, tradurre le strategie in azioni attraverso piani e programmi, sviluppare progetti, realizzare prodotti e servizi (figura 1). Se si vuole fronteggiare l’incertezza, è necessario sviluppare strategie per gestire i rischi2 associati alla conduzione di una organizzazione, attraverso metodologie standardizzate per: identificare e analizzare i rischi, valutare possibili interventi e relative priorità, condividere i rischi residui, pianificare misure di trattamento, valutare l’efficacia delle azioni intraprese. Tutte le attività di un'organizzazione comportano dei rischi, la loro gestione aiuta i processi decisionali, tenendo conto delle incertezze e del loro effetto sul raggiungimento degli obiettivi aziendali luglio/agosto 2011 che possono essere riferiti a una vasta gamma di attività, dalle iniziative strategiche agli aspetti operativi e si manifestano in termini di impatti strategici, finanziari, operativi e reputazionali. Introduzione al Risk Management La nascita del Risk Management (nel seguito “Gestione del Rischio”) è generalmente collocata negli anni cinquanta negli Stati Uniti; le attività erano rivolte principalmente alla stipula dei contratti di assicurazione per i "rischi puri", tipicamente assicurabili tramite coperture dei danni (incendio, furto, responsabilità civile, ecc.). Dai soli rischi assicurabili si passa poi a quelli non assicurabili, la cui gestione richiede l'uso di strumenti diversi dal contratto di assicurazione, quali la ritenzione in proprio dei rischi e la loro riduzione attraverso la prevenzione. Si sviluppano così, negli anni settanta, le tecniche di analisi dei rischi, controllo dei danni e finanziamento delle perdite conseguenti; negli anni ottanta, si diffonde sempre di più la tendenza all'integrazione della gestione assicurativa con altre forme di gestione, in primo luogo le attività di prevenzione e sicurezza. Negli anni più recenti, è emersa una nuova visione della gestione del rischio basata sulla considerazione che essa debba occuparsi di tutti gli aspetti aziendali; l’utilizzo di sistemi di ERM (“Enterprise Risk Management”) ha consentito di integrare strategie, processi, persone e tecnologie con le competenze per la valutazione ed il trattamento dei rischi che l’organizzazione deve affrontare nella > Figura 1 - La gerarchia delle decisioni3 www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 29 29 ❙ Il risk management > Figura 2 - Interrelazioni del processo di gestione del rischio EN 9100 creazione del valore, con lo scopo di ottenere benefici durevoli. L’adozione di un processo di Gestione del Rischio è una decisione strategica di una organizzazione, uno dei possibili ‘driver’ per la diffusione di tale approccio è il corpo normativo; per questo scopo sono analizzati nel seguito i requisiti delle norme ISO 9001:2008 ed EN 9100:2009 riferibili a tale concetto. Introduzione alla norma EN 9100 per l’industria aeronautica La norma di settore EN 9100 include i requisiti del sistema di gestione per la qualità stabiliti dalla ISO 9001 e specifica i requisiti supplementari per l’industria aeronautica, dello spazio e della difesa. In particolare, essa consente: ✎ Il soddisfacimento dei requisiti delle Autorità e delle normative di settore; ✎ Un’efficace gestione del progetto e del controllo configurazione; ✎ Una gestione del rischio appropriata all’organizzazione e al prodotto; ✎ Una maggior attenzione nella selezione e valutazione dei fornitori; ✎ Una maggior attenzione nei requisiti per l’approvvigionamento; ✎ Il controllo del trasferimento temporaneo o permanente di lavoro (“outsourcing”); ✎ Il monitoraggio delle caratteristiche chiave; ✎ Una maggior attenzione ai processi speciali; www.aicq.it ✎ L’ispezione del primo articolo4. La norma nasce nel 1999 per iniziativa delle principali aziende e associazioni del comparto aerospaziale e adatta i contenuti della ISO 9001 alle esigenze delle organizzazioni industriali mediate l’aggiunta di requisiti relativi al settore aerospaziale applicati/integrati ai modelli del Sistema di Gestione per la Qualità (SGQ). La norma, emanata sotto l’egida dello IAQG (International Aerospace Quality Group, costituito dalla totalità dei Costruttori aerospaziali al mondo), è un “Industry Consensus Standard” inteso come un programma condiviso di cooperazione mondiale, il cui scopo è quello promuovere il continuo miglioramento delle prestazioni e nello stesso tempo assicurare, in modo efficace e a costi contenuti, un approccio condiviso al sistema di gestione della qualità nell’industria aerospaziale. La norma è stata approvata dalle organizzazioni mondiali preposte: ✎ La “European Association of Aerospace Industries” che ha rilasciato la norma EN 9100 in Europa; ✎ La “International Aerospace Quality Group” che ha rilasciato la norma AS 9100 negli Stati Uniti; ✎ Il “Japan Aerospace Quality Group” che ha rilasciato la norma JISQ 9100 in Asia. L’edizione 2009 della norma EN 9100 allarga il settore di applicazione ed è rivolta all’utilizzo da parte delle organizzazioni industriali che progettano, sviluppano Il concetto di rischio nelle norme ISO 9001 ed EN 9100. La norma ISO 9001:2008 introduce un riferimento al tema del rischio: “… la progettazione e l’attuazione del sistema di gestione qualità di un’organizzazione sono influenzate: dal contesto nel quale essa opera, dai cambiamenti in tale contesto, e dai rischi ad esso associati …”. Tuttavia, una più attenta rilettura della norma ISO 9001 può dimostrare che ci sono requisiti indirettamente riferibili ad alcuni elementi della gestione del rischio (tabella 1). La norma EN 9100: 2005 introduce la gestione del rischio nei “Processi relativi al cliente”, in particolare nel “Riesame dei requisiti relativi al prodotto”, dove precisa che “L'organizzazione deve riesaminare i requisiti relativi al prodotto prima di impegnarsi a fornire un prodotto al cliente e deve assicurare che i rischi (e.g. nuove tecnologie, tempi stretti di consegna) siano stati valutati”. L’edizione 2009 della norma EN 9100 estende tale concetto introducendo, per quanto appropriato all’organizzazione e al prodotto, un processo per la gestione del rischio relativo al conseguimento dei requisiti applicabili (tabella 2). Qualunque tipo di attività implica potenziali eventi e conseguenze che rappresentano possibili benefici (elementi positivi) o minacce al successo (elementi negativi). La concezione della gestione del rischio come attività legata sia ad aspetti positivi sia a quelli negativi è sempre più diffusa; le norme sul tema, di recente emissione, valutano il rischio da entrambe le prospettive. Come si evince dalla luglio/agosto 2011 te m a e producono prodotti nel campo aeronautico, dello spazio e della difesa. Le aziende più rappresentative del settore sono fortemente orientate verso la norma EN 9100 e la considerano un “must” irrinunciabile per garantire sicurezza e qualità ed un aspetto sempre più discriminante nella selezione dei Fornitori; ad oggi, queste organizzazioni richiedono infatti a tutta la catena di fornitura di adeguarsi a tale norma. AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 30 te m a 30 ❙ Il Mestiere del Valutatore ❙ del valore delle azioni; ed inoltre, rischi di credito e di liquidità. ✎ Rischi operativi: rischio di perdite dirette o indirette derivanti da errori o inadeguatezze dei processi interni, dovuti sia a risorse umane sia a sistemi tecnologici, > Figura 3 - Processo di Gestione del Rischio (norma ISO 31000) oppure derivanti da eventi esterni, come ad esempio, definizione 3.1, il concetto di rischio ininterruzioni nella catena di fornitura. trodotto dalla norma EN 9100: 2009 è collegato ad una condizione indesidera✎ Rischi puri: comprendono i rischi nata che ha conseguenze potenzialmente turali, di responsabilità civile, di danni negative; nel campo della sicurezza (rea persone e infrastrutture. quisito imprescindibile per l’industria aeronautica, dello spazio e della difesa) si Le fasi del processo di geammette generalmente che le consestione del rischio EN 9100 guenze siano esclusivamente negative e L’organizzazione deve definire, attuare e quindi la gestione del rischio si concenmantenere attivo un processo per gestire tra principalmente su aspetti di preveni rischi relativi al conseguimento dei rezione e di riduzione del danno. In un siquisiti applicabili, che comprenda, per stema di gestione della qualità EN 9100, quanto appropriato all’organizzazione e il processo di gestione del rischio deve al prodotto: essere applicato lungo tutta la realizzaLa attribuzione di responsabilità per la zione del prodotto, come mostra la figugestione del rischio ra 2, che evidenzia inoltre la correlazioL’organizzazione deve assegnare responne con “requisiti speciali”, “elementi crisabilità a ogni livello rendendo così ogni tici” e “caratteristiche chiave”5. risorsa responsabile della gestione del rischio come parte dei propri doveri pro6 fessionali. Il CDA svolge un ruolo imporLe tipologie di rischio tante di supervisione del processo e conLa classificazione dei rischi per organiztribuisce alla determinazione del livello zazioni industriali include le seguenti tidi rischio accettabile. L’Alta Direzione pologie: promuove la politica di gestione del ri✎ Rischi di Business derivano dall’attischio, l’osservanza del livello di rischio vità tipica d’impresa e si distinguono accettabile e gestisce i rischi nella propria in: sfera di responsabilità, in coerenza con i ✎ Rischi strategici: Comprendono i ridefiniti livelli di tolleranza. Il risk manaschi relativi ai cambiamenti nelle esiger assolve generalmente ad un compito genze del cliente, minacce di concordi gestione del processo e fornisce il suprenti nuovi e tradizionali, tecnologie porto necessario all’applicazione della innovative, cambiamenti legislativi e metodologia; altre persone possono svolmovimenti globali economici e geogere compiti più operativi, in rispondeza politici. alle politiche e alla direttive aziendali sul ✎ Rischi finanziari: Comprendono i ritema, nello svolgimento delle proprie atschi relativi alla volatilità nei tassi di tività. Soggetti esterni, come Clienti, forinteresse, dei tassi di cambio delle vanitori e partner possono fornire informalute, del prezzo delle materie prime, luglio/agosto 2011 zioni utili per il buon funzionamento del processo, ma non rispondono ovviamente della sua efficienza operativa. La definizione dei criteri di rischio L'organizzazione deve sviluppare i criteri da utilizzare nella valutazione della significatività del rischio; tali criteri sono influenzati da valori e obiettivi dell’organizzazione e devono essere coerenti con la politica di gestione del rischio. Alcuni criteri possono derivare dai requisiti legali e regolamentari applicabili, altri da eventuali requisiti contrattuali che l’organizzazione ha sottoscritto. L’attività dovrebbe partire da una valutazione degli elementi che possono influire sulla sua capacità di ottenere i risultati attesi e include l’analisi del contesto esterno (ovvero l'ambiente in cui l'organizzazione si propone di raggiungere gli obiettivi; come ad esempio, l’ambiente normativo, regolamentare, finanziario, tecnologico, economico e competitivo) e l’analisi del contesto interno (ovvero l'ambiente con cui l'organizzazione si propone di ottenere gli obiettivi, ed include le politiche, i processi, il personale, le competenze chiave e gli altri “asset” tangibili ed intangibili). L’identificazione, valutazione dei rischi e comunicazione dei rischi L’attività ha scopo di definire i rischi che possono ostacolare il raggiungimento degli obiettivi. La descrizione strutturata dei rischi dovrebbe includere l’estensione del rischio (e.g. descrizione degli eventi, le loro dimensioni, tipologia e fattori correlati), la quantificazione del rischio (rilevanza e probabilità o frequenza di accadimento), la propensione al rischio (descrizione del potenziale di perdita e di impatto finanziario del rischio, probabilità e dimensione di perdite potenziali, obiettivi di controllo del rischio). L'analisi del rischio può essere, in ordine crescente di costo e complessità, di tipo qualitativa, semiquantitativa e quantitativa delle probabilità dell’evento e di stima delle possibili conseguenze sugli “asset” tangibili ed intangibili. II risultato è un giudizio qualitativo (“rate”) o quantitativo (“score”) dal quale dedurre l’importanza del rischio oggetto di stima. www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 31 31 ❙ Il risk management ❙ 5.6 Riesame della Direzione 6.2 Risorse Umane 6.3 Infrastrutture 7.2.2 Riesame dei requisiti relativi al prodotto 7.3.7 Controllo delle modifiche di progetto 7.4 Acquisti 7.5. Produzione ed erogazione di servizi 8.2.1 Soddisfazione del Cliente 8.2.2 Verifiche Ispettive Interne 8.5.3 Azioni Preventive benefici ottenibili con la sua riduzione. L’accettazione dei rischi residui Non possono essere trascurati i rischi residui (i.e. i rischi dopo l’implementazione di un’attività di mitigazione) e i rischi secondari (rischi dovuti all’implementazione di una risposta a un altro rischio). È importante che L’Alta Direzione sia consapevole della natura e dell'entità di questi elementi che devono essere documentati e sottoposti a riesame. Le attività di monitoraggio e riesame La gestione del rischio è un processo ricorsivo da mantenere attivo (§ requisito 7.1.2) con la pianificazione e l’esecuzione di attività di monitoraggio e riesame che, con attività costanti o controlli periodici consentono di rilevare come i rischi variano nel tempo. È pertanto indispensabile monitorare e riesaminare i rischi, l'adeguatezza delle strategie scelte, lo stato di esecuzione delle attività pianificate per trattare i rischi. Le attività di monitoraggio e riesame assicurano che nuovi rischi emergenti non siano trascurati; cambiamenti nel- l’ambiente o semplicemente la disponibilità di informazioni aggiornate possono infatti rendere obsolete le valutazioni iniziali. In questo caso, può essere sufficiente aggiornare le parti direttamente interessate dalla variazione; per i nuovi rischi emergenti è necessario avviare l'intero processo dall’inizio. Il monitoraggio e il riesame consentono inoltre il coordinamento delle altre fasi del processo; le attività assorbono risorse e devono essere pertanto gestite in modo da garantire che si svolgano in modo economicamente vantaggioso e assicurino la continua efficacia delle azioni di trattamento predisposte. La correlazione con il processo di gestione del rischio ISO 31000 La figura 3 illustra le fasi della Gestione del Rischio della norma ISO 31000 (l’anello evidenzia la ricorsività del processo, le linee tratteggiate indicano il coordinamento esercitato sulle altre fasi dello stesso); dal confronto delle macro-attività si evince che questo processo sostanzial- Il riesame della Direzione comprende una valutazione delle opportunità di miglioramento e le esigenze di eventuali cambiamenti che possono influire sul sistema di gestione della qualità Soddisfacendo i requisiti per garantire le competenze necessarie, è possibile gestire i rischi associati alle risorse umane. La manutenzione delle infrastrutture (i.e., edifici, attrezzature, sistema informativo), necessarie per ottenere la conformità ai requisiti del prodotto, consente di gestire i rischi associati alla continuità operativa. Il requisito di riesame del contratto, compresa la definizione della capacità dell'organizzazione di soddisfare determinati requisiti, riduce significativamente il rischio su futuri obblighi contrattuali. È necessario valutare l'effetto delle modifiche sulle parti e sui prodotti già consegnati. La definizione dei criteri per valutare i fornitori e la loro sistematica valutazione riduce la vulnerabilità delle organizzazioni associate a rischi di interruzione della catena di fornitura. La fornitura in condizioni controllate (cioè, la disponibilità delle richieste informazioni, le istruzioni, le attrezzature, le misure e collaudi, ecc.) riduce significativamente il rischio di consegna di prodotti non conformi. I dati di monitoraggio delle informazioni relative alla percezione del cliente sul fatto che l'organizzazione abbia, o meno, soddisfatto i suoi requisiti sono un elemento importante per l’identificazione dei rischi relativi all’immagine e alla reputazione. Le verifiche ispettive interne aiutano ad identificare eventuali rischi operativi. L'organizzazione deve determinare le azioni per eliminare le cause di potenziali non conformità, al fine di evitare che queste avvengano; le azioni preventive devono essere appropriate agli effetti dei potenziali problemi. > Tabella 1 - Requisiti ISO 9001 riferiti indirettamente al concetto di rischio www.aicq.it luglio/agosto 2011 te m a Oltre alla comunicazione interna, un’organizzazione dovrebbe informare regolarmente i propri portatori di interesse, illustrando le proprie politiche di gestione del rischio e l’efficacia nel raggiungimento degli obiettivi pianificati. L’identificazione e gestione di azioni per mitigare i rischi Lo scopo di questa fase è di valutare i rischi che hanno bisogno di trattamenti e le relative priorità di intervento. Il trattamento del rischio comporta la selezione di una o più opzioni per la modifica della dimensione rischio, la pianificazione e la realizzazione delle misure scelte. Queste attività determinano una diminuzione della probabilità di insorgenza o la riduzione dei potenziali effetti fino ad un livello di rischio residuo accettabile. Le opzioni di trattamento sono selezionate tenendo conto di alcuni fattori, quali il rapporto costi e benefici, l’efficacia e altri eventuali criteri rilevanti per l'organizzazione. La selezione della scelta più appropriata comporta l'equilibrio tra il costo del trattamento del rischio rispetto ai AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 32 te m a 32 ❙ Il Mestiere del Valutatore ❙ 0.1 Generalità La progettazione e l'attuazione del sistema di gestione per la qualità di un'organizzazione sono influenzate: a) dal contesto nel quale essa opera, dai cambiamenti in tale contesto e dai rischi ad esso associati; … 3.1 Rischio: Situazione o condizione indesiderata che abbia sia una probabilità di accadere sia una conseguenza 3 Termini potenzialmente negativa. e Definizioni 3.2 Requisiti speciali: Requisiti, identificati dal cliente o determinati dall’organizzazione, il cui soddisfacimento è ad alto livello di rischio, e che quindi devono essere inclusi nel processo di gestione dei rischi. I fattori considerati nella determinazione dei requisiti speciali comprendono la complessità del prodotto o del processo, l’esperienza passata e la maturità del prodotto o del processo. L’organizzazione deve pianificare e gestire la realizzazione del prodotto, per quanto appropriato all’organizza7.1.1 Gestione zione ed al prodotto, in modo strutturato e controllato per soddisfare i requisiti con un rischio accettabile e aldel Progetto l’interno dei vincoli di risorse e tempi. L’organizzazione deve stabilire, attuare e mantenere attivo un processo per gestire il rischio relativo al conse7.1.2 Gestione guimento dei requisiti applicabili, che comprenda, per quanto appropriato all’organizzazione e al prodotto, del rischio a) attribuzione di responsabilità per la gestione del rischio, b) definizione dei criteri di rischio (per esempio: probabilità, conseguenze, accettazione del rischio), c) identificazione, valutazione e comunicazione dei rischi nella realizzazione del prodotto, d) identificazione, effettuazione e gestione di azioni per mitigare i rischi che superano i criteri definiti di accettazione del rischio, e) accettazione dei rischi residui dopo l’effettuazione delle azioni di mitigazione. L'organizzazione deve riesaminare i requisiti relativi al prodotto. 7.2.2 Riesame Questo riesame deve essere effettuato prima che l'organizzazione si impegni a fornire un prodotto al cliente dei requisiti relativi al prodotto (per esempio prima dell'emissione di offerte, dell'accettazione di contratti o di ordini o di loro modifiche) e deve assicurare che siano stati identificati i rischi (ad esempio, nuova tecnologie, breve tempistica di consegna). 7.4.1 Processo di L’organizzazione deve determinare e gestire il rischio concernente alla selezione e utilizzo di fornitori (ad esemapprovvigionamento pio, tempi di approvvigionamento, interruzione della catena di fornitura). > Tabella 2 - Requisiti EN 9100 riferiti al concetto di rischio mente coincide con quello definito dal requisito 7.1.2 della norma EN 91007. Conclusioni 3 4 La gestione del rischio consente all’Alta Direzione di affrontare efficacemente le incertezze e i conseguenti rischi, sostiene gli obiettivi strategici e accresce le capacità dell’azienda di generare valore. Allo scopo di ampliare la diffusione di tale approccio nelle organizzazioni si ritiene auspicabile l’introduzione dei requisiti di gestione del rischio, per quanto applicabile all’organizzazione e al prodotto, nella futura revisione della norma ISO 9001. 2 quindi devono essere inclusi nel processo di gestione dei rischi. I fattori considerati nella tion”. individuazione dei requisiti speciali com- ISO Guide 73: 2009 “Risk Management – prendono la complessità e la maturità del Vocabulary”. prodotto o del processo (e.g. requisiti di prestazione al limite delle capacità industriali, ■ NOTE 1 2 delle capacità tecniche o di processo). Stato, anche parziale, di assenza di infor- E l e m en t i c r i ti c i: Elementi con effetto rile- mazioni relative ad una situazione futura. vante sulla realizzazione e sull’utilizzo del L'incertezza tra l'organizzazione e i suoi prodotto. Comprendono sicurezza, presta- obiettivi; il concetto di rischio implica la zioni, forma, installabilità e funzionalità, sua dimensione, vale a dire, la combina- producibilità, vita operativa, ecc. zione della probabilità di un evento e del- C a r a t t e r i s t i c h e c h i a v e : Caratteristica la la entità delle sue conseguenze. cui variazione esercita una rilevante in- 3 The Orange Book, HM Treasure, 2004. fluenza su forma, installabilità e funziona- 4 Il controllo, la verifica e la documentazio- lità, prestazioni, vita operativa o produci- ne di un campione rappresentativo del pri- bilità e che richieda azioni specifiche per ■ BIBLIOGRAFIA 1 ISO 31000: 2009 “Risk management Principles and Guidelines on Implementa- mo lotto di produzione di serie di un nuo- ISO 9001: 2009 “Quality Management Sy- vo prodotto oppure di un prodotto esisten- stems – Requirements”. te che è stato sottoposto a modifiche rile- EN 9100: 2009 “Quality Management Sy- vanti. stems - Requirements for Aviation, Space and Defense Organizations”. luglio/agosto 2011 5 tenerne sotto controllo la variazione. 6 B. Frattini, Linee guida per la valutazione dei rischi, EPC Libri, 1998. 7 “Risk Assessment” corrisponde ai requisiti Req uisiti spe cia li: Requisiti il cui soddisfa- 7.1.2 c), 7.1.2 e); “Risk Treatment” coinci- cimento è ad alto livello di rischio e che de con il requisito 7.1.2 d). www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 33 AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 34 te m a 34 ❙ Rischi ❙ >> Ettore Stanghellini Pres. Comitato di salvaguardia della Imparzialità Aicq Sicev La valutazione dei rischi Rischi nella ce rtif icazione delle per sone Il presente articolo ha l’obiettivo di aprire una discussione sulla applicazione alla certificazione delle persone dei principi e delle linee guida delle norme IEC ISO 31000 sul governo dei rischi ed in particolare sulla linea guida IEC ISO 31010 sul Risk management - risk assesment technique. La discussione non ha l’obiettivo di entrare nel dettaglio delle specifiche aree di rischio, ma è mirata a verificare se l’attenzione attualmente dedicata dagli organismi di certificazione del personale (OdC) ai rischi per la certificazione è adeguata e se vengono adeguatamente valutate le reali minacce che rischiano di compromettere la credibilità delle certificazioni del personale e delle certificazioni di sistema, in larga parte affidate alla competenza del personale che li valuta. Alcuni richiami Per evitare ai lettori la ricerca delle norme citate, si riassumono, in modo sintetico alcuni dei concetti riportati nelle norme citate ed utilizzati nell’articolo. Anzitutto si ricorda la definizione di rischio fornita dalla norma IEC ISO 31000 e dalla guida 73 che recita testualmente (d’ora innanzi verrà utilizzato il corsivo quando si riportano parti di una norma): RISCHIO è l’effetto dell’incertezza sugli obiettivi. luglio/agosto 2011 Questa definizione corretta, ma un po’ burocratica, merita qualche nota esplicativa che potrebbe ampliare la definizione nel modo seguente: I risultati delle attività di qualsiasi organizzazione sono influenzati da incertezze relative a fattori interni o esterni che potrebbero compromettere il raggiungimento degli obiettivi dell’organizzazione. Ogni effetto che queste incertezze potrebbero avere sugli obiettivi dell’organizzazione è un RISCHIO. Esso viene spesso espresso dalla combinazione delle conseguenze dell’evento imprevisto e dell’associata probabilità che esso si verifichi. Gli scostamenti rispetto all’obiettivo potrebbero originare effetti negativi oppure positivi; nel primo caso si utilizza il termine minacce, mentre nel caso di scostamenti positivi si utilizza il termine benefici. Salvo esplicita indicazione contraria, nel presente articolo, si farà riferimento unicamente alla prima categoria di eventi. LA GESTIONE DEI RISCHI (risk management) è l’insieme delle attività che hanno lo scopo di dirigere e tenere sotto controllo una organizzazione con riferimento ai rischi. La gestione dei rischi comprende diverse attività. Il nucleo centrale di queste attività è costituito dalla. VALUTAZIONE DEI RISCHI che, secondo la guida 73-2009 è un pro- cesso comprensivo dell’identificazione dei rischi, analisi dei rischi e stima dei rischi, ed ha lo scopo di attuare un processo strutturato che identifichi se e come gli obiettivi dell’organizzazione possono essere influenzati ed analizza i rischi in termini di conseguenze e della loro probabilità, per prendere decisioni al fine di minimizzare i rischi. Il processo di valutazione dei rischi si articola a sua volta in diversi sottoprocessi e precisamente: ✎ l’identificazione dei rischi. ✎ l’analisi dei rischi e la ✎ quantificazione dei rischi. A questo specifico argomento è dedicata la norma IEC-ISO 31010. Si desidera infine ricordare che, anche se il presente articolo è dedicato alla sola valutazione, essa è solo una fase di un processo più ampio, il risk management, che comprende l’informazione e condivisione, l’identificazione del contesto, la valutazione, il trattamento dei rischi, il monitoraggio ed il riesame. La valutazione dei rischi è quindi un sottoprocesso che a sua volta comprende l’Identificazione, la stima e la quantificazione vera e propria del rischio. E’ bene ricordare che, anche se prenderemo in esame la sola fase di valutazione, essa non ha alcun senso se non viene inserita nel contesto del processo di risk management. La gestione dei rischi è un’attività nota www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 35 35 ❙ Certificazione delle persone ❙ I rischi nel caso della certificazione del personale da tempo in particolare nelle attività associate a rischi molto elevati nei quali solo una adeguata ed efficace gestione dei rischi ne assicura una corretta ed adeguata protezione. Un esempio dei risultati che si ottengono ( o si mancano) con il corretto governo dei rischi è nelle immagini del recente e drammatico terremoto in Giappone. A nessuno sarà sfuggito il comportamento esemplare della stragrande maggioranza dei giapponesi che, in presenza di un terremoto di gravità eccezionale, si preoccupavano di sorreggere scaffali e mobili senza farsi cogliere dal panico o dal terrore; comportamento certamente dovuto ad una corretta valutazione del rischio, ad una rigorosa applicazione di regolamenti edilizi e ad una preparazione ed addestramento esemplari. Non è il caso di fare commenti sull’altro aspetto, non altrettanto positivo, dello stesso dramma e cioè quello che riguarda la gestione del rischio nella centrale atomica di Fukushima. Individuazione dei soggetti sui quali ricadono gli effetti delle minacce Questo esempio ci fornisce l’opportu- www.aicq.it nità di mettere in evidenza una distinzione molto importante e spesso non adeguatamente considerata, che interessa anche l’argomento oggetto del presente articolo, relativa alla individuazione dei soggetti sui quali ricadono gli effetti delle minacce; chiameremo questi soggetti i “portatori del rischio”. E’ necessario, infatti, distinguere il caso in cui il rischio ricade sulla stessa organizzazione che governa il processo, dal caso in cui il rischio ricade su soggetti differenti da quelli che governano il processo. Appartengono alla prima categoria i rischi di impresa, i rischi di progetto, i rischi commerciali, alcuni tipi di rischi finanziari, ecc., mentre appartengono alla seconda categoria i rischi ambientali, i rischi della sicurezza sul posto di lavoro, i rischi da malattie professionali, i rischi idrogeologici, altri tipi di rischi finanziari, ecc. La distinzione è fondamentale perché nel caso in cui il rischio ricade sulla stessa organizzazione che governa il processo a rischio, è preciso interesse dell’organizzazione governare correttamente il rischio e quindi è interesse, oltre che responsabilità istituzionale, del management dell’organizzazione. Nel caso in cui i soggetti sui quali ricadono le In particolare, nel caso dei rischi della certificazione del personale, occorre fare una ulteriore distinzione all’interno dei portatori di rischio tra il personale certificato o certificando e le altre parti interessate che, a fronte dello stesso accadimento, potrebbero presentare un diverso tipo e livello di rischio. In tutti questi casi, giova ripeterlo, coloro che generano i rischi potrebbero trarre vantaggio dalla mancata attuazione del corretto controllo dei rischi, che essendo spesso un’attività molto costosa, avrebbe un peso notevole sui bilanci dell’organizzazione. In questi casi è quindi indispensabile che vengano istituite delle autorità di sorveglianza, indipendenti, autorevoli e dotate di adeguati poteri, che abbiano la responsabilità di controllare se coloro che generano i rischi li hanno adeguatamente valutati e tenuti sotto controllo. Esiste infine una categoria di rischi che appartengono a questa ultima categoria e che, per la loro rilevanza, sono regolamentati da leggi o regolamenti obbligatori, il cui mancato rispetto costituisce un reato e per i quali gli organi di sorveglianza sono quelli istituzionali; questo tipo di rischi esula dalla presente analisi. luglio/agosto 2011 te m a conseguenze dei rischi sono differenti da quelli che governano il processo, si verifica il fenomeno contrario e cioè spesso le organizzazioni che governano il processo a rischio potrebbero trarre vantaggio dalla mancanza di un corretto governo del rischio stesso, mentre le persone/organizzazioni sulle quali ricadono gli effetti del rischio non hanno alcun potere sul governo dei processi a rischio. Appartengono a questa categoria la maggior parte dei rischi per la collettività come ad esempio i rischi idrogeologici, i rischi ambientali, i rischi sanitari, i rischi sulla sicurezza sul posto di lavoro, alcuni tipi di rischi finanziari ed in parte anche i rischi oggetto del presente articolo. AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 36 te m a 36 ❙ Rischi ❙ AREA DI RISCHIO Imparzialità Procedure ed attuazione della valutazione della competenza Trasparenza; riservatezza Prevalenza degli aspetti economici su quelli tecnici Mantenimento della competenza PORTATORI DEL RISCHIO Organismi di certificazione del personale Rischio, sul lungo termine, di compromettere la credibilità dell’OdC. La facilità di accesso potrebbe addirittura essere un vantaggio per l’OdC, consentendo di lucrare sul numero di persone certificate. Rischi all’immagine La ricerca vantaggi economici può compromettere la serietà della valutazione della competenza, con le conseguenze viste in precedenza.. Vedi punto relativo alla valutazione della competenza. L’applicazione della norma IEC ISO 31010 al processo di certificazione delle persone Si esaminerà ora l’applicazione della norma IEC ISO 31010 al processo di certificazione delle persone. Secondo i requisiti della norma citata si dovranno anzitutto definire gli obiettivi dell’organizzazione alla quale si riferiscono i rischi , e successivamente valutare le situazioni che potrebbero influenzare il raggiungimento degli obiettivi. Poiché l’obiettivo di un organismo di certificazione del personale è l’attestazione, basata su dati oggettivi, effettuata da una terza parte indipendente, che una persona soddisfa requisiti specificati, ne consegue che la valutazione dei rischi della certificazione del personale consisterà nell’identificazione, analisi e valorizzazione degli accadimenti che potrebbero compromettere il raggiungimento dell’obiettivo sopra scritto. La valutazione di dettaglio esula dal presente dibattito, come pure la valutazione della accettabilità dei rischi; ci si limiterà quindi a considerare le “categorie di minacce”, tenendo presente luglio/agosto 2011 Persone certificate o da certificare Rischio rilevante sulla correttezza dell’accesso alla certificazione. Scarsa credibilità della certificazione Utilizzatori del personale certificato Scarsa credibilità della certificazione derivante dalla parzialità della certificazione. Rischio di scarsa credibilità dell’intero sistema di certificazione. Rischi all’immagine Rischi accettabili Scarsa credibilità della certificazione Rischio di scarsa credibilità dell’intero sistema di certificazione Vedi punto relativo alla valutazione della competenza Vedi punto relativo alla valutazione della competenza che l’analisi dei rischi reale dovrà prendere in esame nel dettaglio tutti gli accadimenti che rientrano in quella categoria. Coerentemente con le osservazioni fatte sui “portatori di rischio” si prenderanno in considerazione anche i rischi che ricadono su soggetti differenti dagli organismi di certificazione, perché non si ritiene che essi possano essere considerati accettabili solo perché non ricadono sui responsabili del processo di certificazione ed in particolare non si ritiene che possa essere considerato accettabile il rischio della credibilità dell’intero sistema di certificazione che utilizzano il personale certificato. Nella tabella che segue sono elencati alcuni requisiti il cui mancato rispetto potrebbe compromettere il raggiungimento dell’obiettivo della certificazione del personale ed alcune osservazioni sui rischi connessi a questi eventuali manchevolezze: Conclusioni Nella valutazione e nel governo dei rischi della certificazione del personale viene spesso data la priorità ai rischi le cui conseguenze ricadono sull’organizzazione che governa i processi o le persone da certificare ed in particolare ai rischi che minacciano l’imparzialità. Vengono spesso poco considerati i rischi le cui conseguenze ricadono su altre parti interessate che non hanno il controllo del processo di certificazione. Si collocano in questa categoria i rischi che nascono da scorrette procedure o attuazione dell’accertamento della competenza o dalla prevalenza di interessi di natura economica degli organismi di certificazione che privilegiano l’utile della loro organizzazione rispetto al rigoroso accertamento della competenza del personale. Un’ultima considerazione, non certo per importanza, riguarda il fatto che se prevalgono negli organismi di certificazione gli interessi di breve termine, soprattutto di natura economica, aumenta la probabilità di accadimento di tutte le minacce elencate nella tabella precedente. Se questo accadesse si comprometterebbe in modo irreversibile la reputazione dell’organismo stesso e, quel che è peggio, la credibilità dell’intero sistema di certificazione. www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 37 37 ❙ Rischi ❙ te m a >> E. Bernasconi – G. Petronella Alenia Aermacchi S.p.A. B. Lazzerini Università di Pisa Un Approccio innovativo suggerimenti prêt-a-porter! L’analisi del r is chio nei p roces si produttivi C’era una volta… “Non lontano da Parigi c'è un bellissimo castello dove risiede il Ministro degli Esteri francese e dove vengono di solito ospitati i Capi di Stato stranieri in visita ufficiale. Un giorno, il Ministro degli Esteri decise di rendere più dolce il soggiorno degli illustri ospiti, facendo scavare un laghetto artificiale. Nell'acqua, ben presto, iniziarono a comparire gigantesche alghe maleodoranti e fu così che a qualcuno venne la brillante idea di gettare nel laghetto dei voracissimi pesci perché si nutrissero di quelle orribili alghe nel rispetto delle millenarie leggi della natura e riportassero subito lo specchio d’acqua allo splendore del progetto. Come al solito, le cose non vanno come si vorrebbe: nei giardini del castello decise di metter su casa un airone. Elegante e bellissimo, ma ahimè goloso di quei piccoli pescetti rossi, che quindi scomparvero nel giro di pochi giorni. Come correre ai ripari? Il primo Ministro non si perse d’animo e riunì tutti i suoi esperti. Qualcuno polemizzò cercando di attribuire colpe e responsabilità; qualcuno propose vie drastiche: “Un cacciatore basterebbe!”; qualcun altro invece propose una via meno rumorosa e la soluzione divenne lampante: chi è il principale nemico dell'airone? Ma naturalmente la volpe, esclamarono unanimi tutti gli www.aicq.it esperti riuniti! Detto… e fatto: in poche ore vennero liberati alcuni volpacchiotti affamati, che iniziarono a sgambettare per i prati annusando tutte le opportunità. Gli agili animali, furbi come sono, trovarono però meno impegnativo accoppare le povere anatre, che riposavano beate sulle rive del laghetto, piuttosto che assaltare, nell’umidità dei canneti, l’imprendibile airone. Il risultato fu la strage rapida ed impietosa di un numero non trascurabile di palmipedi che costrinse i soliti “esperti” a trasferire le anatre sopravvissute in uno dei più bei parchi di Parigi. “Almeno lì -pensarono- in pieno centro di Parigi saranno in salvo!”. Ma ecco che le anatre, scampate al pericolo dei predatori del castello, la combinarono davvero grossa, trasformando la statua di un illustre personaggio del tempo che fu, nella loro toilette preferita. A quel punto gli “esperti”, tra litigi, pianti e grida, si arresero: le anatre restarono nel parco parigino e la statua insozzata dal guano venne difficoltosamente ripulita ed ancora più difficoltosamente trasferita al castello del Ministro degli Esteri, dove ancora oggi sta, dove l'airone continua a combinare guai, le volpi hanno ormai messo al mondo parecchi cuccioli e soprattutto il laghetto è stato prosciugato da quelle alghe schifose il cui olezzo nauseabondo ha ormai impregnato le ampie stanze della prestigiosa residenza.” Introduzione Questo aneddoto è tratto da una storia realmente accaduta, la cui morale, ne siamo convinti, in un modo o nell’altro, ci è familiare: quante volte le decisioni o gli interventi che mettiamo in atto generano conseguenze impreviste, inattese e spesso addirittura contrarie a quelle ipotizzate? Quante volte, per risolvere un’emergenza, siamo costretti a “metterci una pezza” senza poter seriamente risolvere il problema alla radice? Nella realtà complessa in cui viviamo, ci ritroviamo frequentemente alla ricerca di quelle poche certezze che ci rendono la vita meno complicata, più sicura e possibilmente anche più semplice da gestire. Questo vale per la vita privata come anche per quella lavorativa… una quotidianità fatta di urgenze, di continui contrattempi, di esasperanti riunioni piene di diagrammi, di numeri, di grafici e di tanto, tantissimo caos. E' questo il contesto in cui l’applicazione del Risk Management alla gestione dei processi produttivi assume quell’innegabile ruolo fondamentale che gli addetti ai lavori, nonché gli utenti finali, gli attribuiscono, basando su di esso luglio/agosto 2011 AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 38 38 te m a ❙ Rischi ❙ > Figura 1: Esempio di Business Process Diagram > Figura 2: Flow Object - Events > Figura 3: Flow Object - Activities le motivazioni del maggior numero di decisioni possibili, con la stessa confidenza con cui i naufraghi si mantengono stretti alle corde dei loro salvagenti nel mare in tempesta. luglio/agosto 2011 In quest’ottica il Risk Management diviene un punto di riferimento, un cardine nelle nostre attività, una stella polare tanto più sicura ed affidabile quanto più dettagliata ed approfondita è l’analisi per l’identificazione e la valutazione dei rischi che ne costituiscono il fulcro vitale. L’identificazione e la valutazione del rischio sono tuttavia due fasi molto complesse ed articolate, dal momento che richiedono una visione sistemica della realtà oggetto di analisi e necessitano di una valutazione di fattori, informazioni e parametri difficili da quantificare, spesso basati su dati non sufficiente- mente affidabili o non abbastanza significativi da supportare un’analisi statistica robusta. Queste, appunto, sono le premesse da cui partire per descrivere l’approccio innovativo con cui Alenia Aermacchi individua e valuta i rischi sui processi produttivi. Gli obiettivi che ci prefiggiamo sono due: 1. costruire un contesto chiaro e ben illustrato del processo oggetto della nostra analisi di rischio, dove sia più facile identificare i rischi in modo strutturato, 2. fornire una maggior visibilità spaziale e temporale dei rischi identificati e della complessa rete di interconnessioni esistente che li correla reciprocamente o li associa alle singole fasi del processo. Questo progetto è stato sviluppato con il prezioso contributo dell’Università di Pisa ed in particolare con il fondamentale supporto della Prof.ssa B. Lazzerini, docente del Dipartimento di “Ingegneria dell’informazione: Elettronica, Informatica, Telecomunicazioni”, che, unendo abilmente l’esperienza accademica con il mondo industriale, ci ha www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 39 ❙ L’analisi del rischio nei processi produttivi ❙ La modellazione del processo produttivo > Figura 4: Connecting Object > Figura 5: Swimlanes > Figura 6: Artifacts La fase di identificazione dei Rischi è sicuramente la più critica e complessa, oltre ad essere quella che in maggior misura può compromettere la buona riuscita dell’analisi. La maggior difficoltà che si incontra è quella di redarre una lista quanto più completa ed esaustiva possibile di eventi rischiosi, che comprenda tutti i rischi -potenziali o manifesti- che sono accaduti o che possono accadere in certi contesti o situazioni. Tale difficoltà può essere notevolmente ridotta qualora sia possibile avere una visione chiara e precisa del processo che si deve analizzare, oltre che delle fasi e sotto-fasi che lo compongono. A questo scopo abbiamo utilizzato lo standard BPMN: Business Process Model and Notation. BPMN è una notazione grafica standard che consente di modellare i processi di business tramite flowcharting (diagrammi di flusso). Esso costituisce uno strumento intuitivo e facilmente comprensibile da parte di tutti gli stakeholders del processo, siano essi analisti di processo, sviluppatori responsabili della sua implementazione tecnologica o addetti alla sua gestione e al suo controllo periodico. BPMN consente inoltre di tradurre e visualizzare in una notazione non tecnica i linguaggi nati per l’esecuzione dei processi di business. Tramite BPMN è pertanto possibile rappresentare l’intero ciclo di vita di un processo attraverso un diagramma, semplice perchè schematico, intuitivo perchè di facile interpretazione, efficace perchè fornisce una visione chiara e completa di tutte le singole fasi del processo e delle loro mutue interrelazioni. L’utilizzo di una notazione standard, compresa e condivisa da tutti gli stakeholders, ne facilita lo scambio delle informazioni, sia all’interno dell’azienda che tra l’azienda ed organizzazioni esterne, diminuendo il divario > Figura 7: Esempio applicativo www.aicq.it luglio/agosto 2011 te m a aiutato a costruire quello che si è rivelato un ottimo connubio tra teoria e pratica. 39 AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 40 te m a 40 ❙ Rischi ❙ comunicazionale che separa non di rado i progettisti dagli sviluppatori del processo. Il principale diagramma previsto da BPMN dedicato alla rappresentazione di un processo di business è il BPD: Business Process Diagram (Fig.1), i cui costrutti grafici di base sono suddivisibili nelle seguenti quattro categorie: 1. Flow Objects: elementi grafici che definiscono il comportamento di un processo, a loro volta distinguibili in Events (qualcosa che accade nell’ambito di un processo - Fig. 2), Activities (termine generico per descrivere il lavoro svolto dall’azienda Fig. 3) e Gateways (oggetti per gestire la convergenza e la divergenza dei flussi di attività ed eventi), 2. Connecting Objects: elementi grafici che servono per collegare fra loro i flow objects (Fig. 4), 3. Swimlanes: meccanismi visuali per organizzare e categorizzare le attività del processo (Fig. 5), 4. Artifacts: strumenti grafici utilizzati per fornire informazioni addizionali sul processo (Fig. 6). Utilizzando gli strumenti del BPMN è possibile creare un modello di un processo produttivo come quello riportato in Figura 7, che illustra, al solo scopo di esempio, solamente una piccola parte del processo di lavorazione dei materiali in composito. Pur rappresentando una versione molto semplificata del processo produttivo reale, lo schema mette bene in evidenza l’efficacia dello strumento di modellazione utilizzato. Esso è composto da due Pool (definiti come contenitori di Activites): il primo rappresenta una estrapolazione semplificata del processo di Taglio delle Tele di materiale preimpregnato e della successiva preparazione dei Kit di lavorazione, mentre il secondo rappresenta una estrapolazione del processo di Laminazione. Appare evidente, pertanto, come, anche con una limitata base di conoscenze di BPMN, sia possibile comprendere ed interpretare una rappresentazione come quella riportata in Figura 7, sem- luglio/agosto 2011 > Figura 8: Esempio di Mappa Cognitiva Fuzzy plice, intuitiva, facilmente intelleggibile ed utilizzabile da tutti per scopi e con obiettivi differenti. Avere una visione d’insieme con tali caratteristiche della realtà oggetto dell’analisi di rischio consente infatti di meglio comprendere le relazioni tra i diversi elementi che la compongono e di palesare tutti quegli innumerevoli scambi di informazioni e di materia che il processo esercita con l’ambiente circostante. Il BPMN è stato da noi applicato in modo innovativo, costruendo ed utilizzando i diagrammi BPD come base visuale per l’identificazione dei rischi produttivi associabili alle singole fasi ed alle singole interconnessioni tra gli eventi del processo produttivo. Il BPD diventa una mappa guida che accompagna l’analista attraverso le diverse fasi del processo: è sufficiente identificare i rischi associati a ciascuna singola fase del flusso di processo per ottenere già una buona base di partenza per le successive e più approfondite valutazioni! E' da precisare che il BPD non include un esplicito simbolo per la rappresentazione dei rischi che di conseguenza sono stati illustrati utilizzando i Data Object. Questi ultimi, scelti in diversi colori, rendono più facilmente comprensibile l’appartenenza del rischio alla fase corrispondente (In Figura 7 i rischi di colore giallo appartengono alla fase “Taglio Tele”, i rischi di colore rosso a quella di “Laminazione”). Come piattaforma software per lo sviluppo dei BPD abbiamo scelto Intalio, open source e leader mondiale per la fornitura di soluzioni per il Business Process Management System (BPMS). Le soluzioni BPMS di Intalio permettono la progettazione, l’implementazione e l’ottimizzazione dei processi di business senza richiedere all’utilizzatore finale, indipendentemente dall’infrastruttura tecnologica e informatica utilizzata, l’impiego di complessi linguaggi di programmazione. La modellazione del rischio Uno dei maggiori vantaggi dell’utilizzo dello standard BPMN e dei relativi diagrammi BPD per l’identificazione dei rischi consiste nel fatto che, associando facilmente ciascun evento rischioso ad una determinata fase del processo, ogni possibile relazione di causa-effetto tra rischi e fasi produttive diviene chiara ed evidente; lavorare sui diagrammi BPD, inoltre, rende quasi automatico comprendere la limitatezza intrinseca della nota regola dei “5 Perché” utilizzata molto spesso per risalire alle cause dei rischi latenti o manifesti: spendere le proprie risorse per indagare una lunga catena di “perché” rischia di farci risalire fino ai massimi sistemi o, che dir si voglia, fino al più profondo significato della vita, facen- www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 41 ❙ L’analisi del rischio nei processi produttivi ❙ Detectability of the cause after the end of the control procedure or process activity LOW MEDIUM MEDIUM HIGH > Figura 9: Matrice di Manifestabilità doci ahimè sfuggire però gli aspetti più concreti dell’analisi, le situazioni più banali, quelle che sembrano apparentemente di poco conto, ma che invece spesso sono la sede dei maggiori e talvolta più costosi rischi produttivi, che, se opportunamente trattati, permettono di evitare imprevedibili e disastrose reazioni a catena. Dalla prospettiva dei diagrammi BPD, si delinea inoltre anche la possibilità che una delle cause di un rischio può essere a sua volta un rischio essa stessa e viceversa: appare così facendo una fitta rete di correlazioni ed interconnessioni tra “Rischi Causa”, ossia rischi che possono essere a loro volta cause di altri rischi e “Cause Pure”, ossia cause che non sono considerabili come rischi. Abbiamo pertanto deciso di abbandonare la regola dei “5 Perché” e di cercare di analizzare in ottica sistemica la complessa rete dei rischi così come emergono sulle linee guida dei diagrammi BPD. Per rendere il più efficiente possibile la suddetta attività di analisi di rischio, è sorta naturalmente la ne- www.aicq.it cessità di trovare uno strumento in grado di rappresentare complesse reti di informazioni in modo chiaro, immediatamente usufruibile e in modo da renderne più semplice comprensione e gestione. Le Fuzzy Cognitive Maps (FCM) si sono rivelate lo strumento adatto. Una mappa cognitiva è la rappresentazione grafica di un sistema all’interno di un dato dominio in cui i concetti, nel nostro caso rischi e cause, sono rappresentati da nodi e le relazioni causali da archi orientati, che per noi rappresentano le relazioni tra cause e rischi. A ciascun arco è possibile assegnare un peso che quantifica l’intensità della relazione causale. Il termine “cognitiva” indica che la mappa rappresenta un’interpretazione umana del sistema, una tecnica per formalizzare in senso linguistico la rete di relazioni concettuali e causali che connettono rischi e cause di rischio. Il termine “fuzzy” indica invece che lo stato delle componenti di un sistema non è definibile con un valore puntiforme, ma piuttosto deve essere rappresentato me- diante variabili linguistiche sfumate. In Figura 8 è mostrato un esempio di questa rappresentazione FCM. Come si può notare, all’interno della mappa sono presenti nodi di forma e colore differenti a seconda del concetto che essi rappresentano e della fase di lavorazione a cui tale concetto è associato: le “Cause Pure” sono rappresentate da un rettangolo con angoli arrotondati, mentre i “Rischi Causa” sono rappresentati da cerchi; gli oggetti in giallo appartengono alla fase di “Taglio Tele”, mentre quelli in rosso sono riferiti alla fase di “Laminazione”. Ad ogni arco orientato della mappa, rappresentante la relazione di causa-effetto tra due oggetti, è stato associato uno fra i tre valori sfumati: low, medium, high, che traducono in termini linguistici l’intensità della relazione: “difficoltà di rilevabilità della causa in funzione del rischio a cui essa è associata”. Essa viene stabilita prendendo in considerazione due aspetti: ✎ Presenza di controlli sul rischio: con il termine controlli si intendono tutte le verifiche e le ispezioni registrate e tracciabili che vengono eseguite all’interno della fase di lavorazione in questione. ✎ Manifestabilità della causa: con manifestabilità si intende la possibilità di rilevare la causa di rischio prima di un determinato istante temporale. Una causa può essere manifestabile nella fase di lavorazione, se è possibile rilevarla prima del termine del controllo (quando previsto) o prima del termine della fase di lavorazione ad essa associata, oppure può essere manifestabile successivamente alla fase di lavorazione. Una volta stabilita la presenza o meno di controlli sul rischio e definita la manifestabilità della causa del rischio, abbiamo assegnato un valore qualitativo alla difficoltà di rilevabilità della causa utilizzando la matrice di Manifestabilità (Fig. 9). La difficoltà di rilevabilità delle causa di rischio viene successivamente utilizzata per identificare, su ciascun rischio luglio/agosto 2011 te m a Presence of control procedure of the risk occurrence No control procedure of the risk occurrence Detectability of the cause before the end of the control procedure or process activity 41 AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 42 te m a 42 ❙ Rischi ❙ identificato, l’indice dell’Impatto modulato Î, utilizzando l’espressione sotto riportata: dove: Î = impatto modulato I = impatto assegnato dall’analista DD = difficoltà di rilevabilità. Modulare l’indice di Impatto, in termini fuzzy, significa diminuirlo quando la difficoltà di rilevabilità delle cause di rischio è bassa (quindi più facilmente il rischio si manifesterà) oppure aumentarlo quando la difficoltà di rilevabilità è alta (più difficilmente il rischio si manifesterà). Conclusioni Sovrapponendo la Mappa cognitiva fuzzy alla schematizzazione BPD del processo oggetto di indagine, si ottiene una visione assolutamente completa di tutte le informazioni necessarie agli analisti per ottenere i risultati migliori. E' perfetta la potenza comunicativa di questo tipo di strumenti, quando abbinati all’analisi di rischio: un solo colpo d’occhio è sufficiente per avere la visione d’insieme della realtà in esame, per quanto complessa essa possa essere, per quanto complesse possano sembrare le implicazioni sistemiche che la circondano e la compenetrano. Conoscere e visualizzare i rischi, le connessioni che li legano reciprocamente, le loro coordinate spaziali e temporali entro la matrice delle fasi di processo permette di valutare gli interventi in modo più efficace ed efficiente, in modo definitivamente più consapevole; diviene assolutamente intuitivo decidere di intervenire più frequentemente sui rischi a monte con la consapevolezza che la catena di connesioni rischio-rischio e rischio-cause di rischio, ben visibili sul nostro cruscotto di lavoro, produrrà i suoi effetti via via lungo il flusso produttivo fino a valle; è possibile decidere se intervenire su un “Rischio Causa” invece che su una “Causa luglio/agosto 2011 Pura”, in quanto potrebbe costare meno in termini di risorse umane, economiche o temporali oppure decidere di cambiare una o più attività di un processo per mitigare/eliminare un rischio non necessariamente collegato alla attività in analisi. La lista delle possibilità offerte da questo innovativo tipo di analisi di rischio -abbiamo constatato- è molto lunga, tanto di più quando più aperta è la mente degli analisti coinvolti nell’attività. Un modello, quello appena descritto, intuitivo, potente, di facile utilizzo e capace di fornire in modo efficiente risultati immediati. Un possibile e promettente sviluppo futuro, per i più agguerriti addetti ai lavori, potrà essere quello di completare l’approccio sistemico integrato dai sistemi BPMN e FCM con gli strumenti e le tecniche sorprendentemente innovative della Logica Fuzzy. Pensando al domani… “Non lontano da Parigi c'era un bellissimo castello dove risiedeva il Ministro degli Esteri francese e dove venivano ospitati i Capi di Stato stranieri in visita ufficiale. Un giorno, il Ministro degli Esteri decise di rendere più dolce e piacevole il soggiorno degli illustri ospiti, chiedendo ai suoi esperti di scavare un laghetto artificiale nel centro del grande parco alberato. I suoi esperti, riunitisi per valutare la proposta, iniziarono a di- scutere il da farsi e, per giungere ad una decisione condivisa ed efficace, cominciarono ad applicare poche ma solide regole di analisi di rischio (dobbiamo confessare piuttosto rivoluzionarie a quell’epoca…). In un contesto tanto bello come quello del castello, non fu per loro difficile aprire la loro mente ed esercitare le innate capacità empatiche (e sistemiche): affacciati dai finestroni dell’ampia terrazza barocca, compresero le complesse relazioni che legano l’uomo e le attività che è chiamato a svolgere al contesto naturale ed architettonico in cui egli si trova. Osservando lo splendido parco come il loro oggetto di indagine, ne colsero intuitivamente la bellezza e ne compresero i delicati equilibri che regolano le leggi della natura e i canoni classici della bellezza. La riunione si protrasse fino all’indomani quando giunse in sede il Ministro degli Esteri per valutare di persona la proposta per il lago. Invece di un lago artificiale, dissero all’unanimità, proponiamo di realizzare una piccola gradinata nello stesso stile del Castello che ben si adatti al pendio del parco dove un gioco di acqua limpida e pulita, scorrendo scintillante sui marmi preziosi tra il colonnato barocco, darà di sé mirabile spettacolo agli illustri ospiti della prestigiosa residenza, nel rispetto delle millenarie leggi della natura.” Il progetto pienamente condiviso è stato realizzato e tuttora ha mantenute intatte le sue lungimiranti caratteristiche di armonia e bellezza. www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 43 43 ❙ Rischi ❙ te m a >> Ing. Francesco SORO Pieffe Studio Milano Consapevolezza e Riduzione Un’esperienza Rischio attribuibile alle risorse umane Introduzione Esiste un percorso, che è un’esperienza recente, che qui vogliamo testimoniare, che mette in relazione le caratteristiche personali dell’operatore con le attività poste sotto il suo controllo, che rende efficace ed efficiente il processo di miglioramento a partire dalla valorizzazione di queste, che afferma poter essere definita ed impostata la prevenzione a fronte del rischio aziendale. In questo articolo farò particolare riferimento ad una società che gestisce processi di progettazione, installazione e manutenzione di sistemi complessi per la telefonia mobile. L’adozione di un sistema di gestione impatta in primo luogo sugli equilibri dell’organizzazione. È da un po’ che mi cimento con i sistemi di gestione. Ho vissuto gli anni del sacro furore della corsa alla conformità, seguita dall’approccio per processi che introduceva la base per l’obiettivo dell’adeguatezza, fino alla sostenibilità attuale così puntualmente ed asetticamente descritta dalla 9004:2009. Ad ogni “delta” di miglioramento che la nuova edizione della norma proponeva eravamo tutti chiamati a valutare ed a progettare sistemi di gestione con requisiti sempre meglio definiti ma sempre e sostanzialmente www.aicq.it con un solo obiettivo, che potessero dare una svolta culturale all’organizzazione che li adottava. Dall’esperienza è risultato sempre più evidente che il punto non risiedeva solo nelle regole oppure nella convinzione teorica di dotarsene, non solo nella storia aziendale e nell’affiatamento fra gli addetti. Risultava evidente che il legante stabile dovesse coniugare l’aspetto organizzativo-gestionale con l’aspetto “personale” del personale. Nell’azienda citata questo è risultato più evidente per una serie di passaggi. L’inizio del lavoro ha preso le mosse da una combinazione di fattori i più usuali con l’obiettivo di certificarsi. La situazione aziendale presentava la necessità di un consolidamento di una commessa importante, suddivisa in più lotti ripetitivi, che aveva cristallizzato una buona pratica ma a banda stretta. Siamo partiti con le interviste di rito: avevo bisogno di capire il livello di consapevolezza delle risorse circa i processi gestiti e, personalmente, dovevo chiarire quegli aspetti che potevano essere ricondotti ai requisiti di norma. Avevo chiarissimo che le procedure, per essere efficaci, avessero bisogno di un lungo periodo di metabolizzazione e che quindi fosse necessario coinvolgere gli interessati fin dalla loro creazione perché, da subito, ciascuno facesse esperienza della necessità di un cammino per afferrare due concetti principali: il concetto di processo che si capisce se si impostano tutte le attività come un processo fin dall’inizio; il concetto di procedura è uno strumento per aumentare la cultura e trovare un punto di equilibrio fa costi/benefici. Come garanzia per la riuscita di questo lavoro avevo un direttore generale con un passato di consulente e col quale mi ero sintonizzato in fretta e con efficacia. Esistevano in azienda una serie di regole tradotte in istruzioni e requisiti che avevano guidato situazioni ripetitive e/o ad alto rischio e/o contrattuali e che erano perfettamente corrispondenti alle necessità di un’impresa di poche persone, condividere delle regole per fissare sulla carta un modo per non sbagliare, non dimenticarsi delle attività importanti e documentare il lavoro rilasciato per poter fatturare. Siamo partiti da quelle regole, criteri, istruzioni, requisiti, non così poche per la verità, ma che hanno subito indicato/evidenziato la limitatezza del loro dominio. Essendo state definite per risolvere problemi puntuali mancava quel respiro che rende la pianificazione uno strumento sistemico; non erano state condivise dai nuovi assunti, che non avevano l’immediata necessità di seguirle. La necessità delle regole aveva prodotto un minimo di pianificazione e proseguendo su questa strada abbiamo continuato a documenta- luglio/agosto 2011 AICQ_4.qxd:AICQ_ 18-07-2011 14:46 Pagina 44 te m a 44 ❙ Rischi ❙ re il già esistente, prodotto il manuale e le procedure più importanti. Condividendo con tutti il cammino di tutti, quantomeno nel metodo. A completamento della documentazione di pianificazione e di un periodo di rodaggio, ci siamo certificati. La lezione che abbiamo imparato è stata che il sistema di gestione poteva essere utile e quindi interessante per tutti. Lo sforzo di introduzione, nell’azienda che stava nascendo, di un sistema di gestione era, dal punto di vista tattico, il momento migliore, ma dal punto di vista della gestione del tempo, il peggiore. Mettevamo ordine nelle cose che sapevamo fare benissimo, questo creava qualche disagio, a volte sembrava un colloquio tra sordi, ma avevamo imparato a conoscerci ed a fidarci quantomeno quello che bastava per pianificare le attività principali. Intuivamo entrambi, qualità e resto del mondo, avrebbe potuto stabilirsi una alleanza interessante: io possedevo infatti l’altra metà della banconota che rendeva spendibile il patrimonio aziendale. Insomma ho trasmesso la convinzione che il sistema avrebbe potuto funzionare, avevo fugato la loro diffidenza, questo è stato il risultato infinitamente più importante del certificato, che pure era importante: era la base umana del miglioramento. Si deve partire da qui. Il sistema di gestione ha sicuramente una sua ragione ma deve destare un interesse, almeno per un barlume, il responsabile del sistema deve far intravvedere nei suoi interlocutori una convenienza per loro, una ragionevolezza puntuale e non solo sistemica. Il coinvolgimento di tutta l’organizzazione a vari livelli è un passaggio obbligato La costruzione di un sistema che parta dal concreto quotidiano è faticosa ma vale più di ogni lezione frontale. Dopo l’esperienza della certificazione é cominciato il secondo periodo, quello della metabolizzazione. Quando sono arrivato in azienda esisteva un gruppo iniziale che stava crescendo parallela- luglio/agosto 2011 mente allo sviluppo della prima commessa. Io stesso ero stato ingaggiato come responsabile del sistema di gestione e, come tale, collocato in organigramma, ma era evidente che le caselle avevano bisogno di riscattare la staticità della architettura imposta dalle necessità di ingresso nel mercato. Le interviste iniziali erano state seguite con interesse e con un certo, comprensibile, distacco: non riuscivo a spiegare tutto, e non potevo sostituirmi al mio interlocutore, ma era chiaro dove volessi andare a parare, traspariva quantomeno la volontà di documentare tutto quanto veniva fatto. Io avevo l’obiettivo di capire e per capire dovevo interrogare e confrontarmi. Un passaggio obbligato; ma proprio qui c’è stato il secondo risultato operativo fondamentale. Tutti percepivano la sfida di questo lavoro che inizialmente consisteva nell’incrociare le attività con i requisiti, spesso sconosciuti, di norma. Gli aspetti, che confluivano nel miglioramento continuo e nella soddisfazione del cliente, motivavano quella esasperante necessità di documentare, che tutti volevano e davano per scontata, ma erano nodi che puntualmente si impigliavano nel pettine fitto della cronica mancanza di tempo. La necessità di fare certe cose era più spesso intuita che compresa, si fidavano della mia interpretazione e della loro intuizione che il lavoro andasse fatto: non c’era altra strada. Qui mi sono giocato la carta più importante. Ho cominciato a mettermi a disposizione. Dopo aver predicato sull’aspetto sistemico, bla bla-bla, ho cambiato registro: “Adesso la teoria la sapete, verifichiamo se avete capito. Voi sollevate il problema che vi pare debba essere affrontato, azione correttiva, preventiva, miglioramento, modifica, trattamento ecc. ed io vi aiuto a risolverlo. Conduco la vostra conoscenza del processo secondo il metodo che abbiamo individuato”. Questo li ha spiazzati. Si aspettavano una qualità despota e si trovavano davanti un servitore, e per di più un servitore che voleva quello che volevano loro! Su un punto ero tranquillo avendolo sempre sperimentato con successo: la consapevolezza è un cammino che arriva a maturità nel confronto tra le competenze e le esperienze questo richiede un cambiamento di mentalità sostanziale circa il modo di raggiungere gli obiettivi e poggia su di una efficace gestione del rischio. Io sono sempre stato convinto che la riduzione del rischio parte da una risorsa umana che applica le conoscenze acquisite ma continuamente valuta la novità e riconduce i nuovi rischi mediante un processo ad un livello accettabile. Avevo documentato questo cammino professionale in un paio di articoli1. La valutazione del rischio aziendale mi ha confermato, sulla base dell’esperienza, che è il rischio aziendale, secondo una serie diversificata di fattori, il vero driver dell’analisi aziendale e del miglioramento. Aspetto centrale della gestione del rischio aziendale è costituita dalle risorse umane (human factor). Ciascun individuo è fonte diversificata di rischi diversi avendo, l’individuo, come caratteristica peculiare quella della valutazione: ogni addetto che opera è chiamato a vari livelli ed in varie occasioni ad esercitare un giudizio su situazioni, eventi, prodotti, servizi a fronte di criteri e a dare un responso. Il fattore umano è una sorgente di rischio imprevedibile, perché dipende dalla persona in quanto tale, per definizione irripetibile. I Sistemi di gestione sono costituiti dalle persone e dalla loro consapevolezza L’approccio sistemico e per processi era stato accettato, grazie anche al livello culturale dei nuovi assunti, ed aveva aumentato il già alto grado di professionalità del personale ma metabolizzarlo, come dicevo, era un altro discorso. C’era un po’ più di ordine, condividevamo la necessità di avere un metodo comune, e gli interlocutori non si sentivano defraudati della loro intelligenza. Avevo iniziato a dare corso alla nuova filosofia “client-server”, e, per www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 45 45 ❙ Rischio attribuibile alle risorse umane ❙ www.aicq.it Le attività di valutazione erano esercitate continuamente, la più parte in modo inconscio o implicito, ma non rappresentano il vero motore della riduzione del rischio e del miglioramento. I criteri che si sforzavano di individuare, avevano capito benissimo infatti la necessità di avere dei criteri che pilotassero la valutazione, non erano pianificati, supportati da dati di fatto e condivisi, non avevano la preoccupazione di limitare la base discrezionale. Qui è nata la terza svolta epocale. Abbiamo capito il bisogno di una formazione permanente. Le grandi sfide che partono da una politica di sostanza e non convenzionale che cresce con le risorse umane richiedono una formazione continua. A differenza della misura propriamente detta, la valutazione è arricchita da elementi personali che ciascun operatore mette in campo ai fini della verifica di quello che sta vagliando. Un paragone fra quello che è atteso ma ancora di più fra quello che egli attende, che è ragionevole attendere. Nessun operatore è uguale all’altro. Quello che per certi versi è la grande risorsa e peculiarità dell’uomo, per altri rappresenta un limite con cui fare i conti. L’uomo non è intrinsecamente ripetibile e le procedure a supporto delle attività possono dare in questo un considerevole ma circoscritto aiuto. Gli uomini hanno giuridicamente gli stessi diritti ma ogni soggetto è unico ed irripetibile, ne consegue che possa essere operativamente ma non identicamente sostituibile2. L’uomo certo non è perfetto ma, essendo dotato di libertà, può però tendere al miglioramento che non è istantaneo ma è frutto di una lunga e faticosa strada che passa attraverso gli insuccessi, anche personali. A che cosa mirava la logica del client server? Mirava ad eliminare i principali fattori di rischio delle risorse umane. Ad esempio a rimuovere la convinzione di poter lavorare da soli a prescindere dagli altri, oppure pensare che essere “bravi” possa essere già aziendalmente il massimo e quindi esenti dal miglioramento; che si possa essere bravi a prescindere dalla bravura degli altri; o ancora che le modalità di comunicazione aziendali possano essere decise unilateralmente. Insomma ostacolo al miglioramento personale è pensare di non averne bisogno e di pensare alla valutazione come ad una proprietà privata. Vero è anche che trasformare la capacità di giudizio in un’arma vincente non può essere un’azione coercitiva. Il sistema di gestione può solo indicare una strada non sostituirsi alla persona, nessuno può costringere nessuno. I dipendenti sono obbligati a fare, non a conseguire un risultato, così come prescritto dall’art. 1218 del c.c.3. L’eventuale l’inadeguatezza del collaboratore potrebbe essere attribuita ad una serie di cause le più diverse con il concorso della stessa organizzazione e/o di fattori non riconducibili al lavoratore. In pratica lo scarso rendimento è di impossibile dimostrazione 4. Meglio battere un’altra strada. L’atteggiamento che convince i miei interlocutori risiede nel fatto che è molto più interessante migliorare il proprio metodo di controllo del processo da protagonisti piuttosto che rimanere controllori o produttori di documenti vita natural durante. Imparare a lavorare in modo controllato può essere una scuola appetibile al desiderio di miglioramento personale. Costruire un’azienda che duri 100 anni Questo risultato necessita alla base di una chiara coscienza di ciascuno del proprio lavoro a partire da una formale definizione delle relazioni e della politica comune. L’anello di congiunzione con quanto detto è sicuramente la formazione che però fa il paio imprescindibilmente con la volontà di crescere con l’azienda. Esiste sempre un confine sottile fra la propria crescita personale e la crescita aziendale, dinamicamente colmato dalla consapevolezza che la crescita non è solo un incremento delle conoscenze e della capacità di applicarle, ma il fare, insieme ai colleghi con i luglio/agosto 2011 te m a questo, cominciato a frequentare le riunioni organizzative e di pianificazione partecipate tutto il personale (circa 10 persone) e che coniugavano l’aspetto di pianificazione, avanzamento lavori, riesame di alcune situazioni. Il passo che doveva essere fatto era quello di non rinunciare all’approccio sistemico e per processi e di dare contemporaneamente un aiuto alla risoluzione dei problemi. C’era bisogno di un link che collegasse il sistema, i suoi requisiti, la sua visione integrale, con la quotidianità con i problemi, con la necessità di definire criteri, e di imparare ad affrontare i problemi sempre più efficacemente e velocemente. La società presentava una serie di competenze, complementari una all’altra, che esercitavano attività di media-alta specializzazione. Business di nicchia, con diversi pesanti baricentri che possono essere riassunti nella difficoltà di confrontarsi con competitor di solida tradizione e di relazionarsi con la pubblica amministrazione. Ogni addetto aveva la sua specificità e ben presto è arrivata la necessità di investire per obiettivi “orizzontali” di sistema primo dei quali l’intercambiabilità. Era evidente che bisognava evitare approcci diversi per lo stesso problema, e che ciascuno prendesse decisioni per suo conto. Cosa dicevano i sacri testi? La leadership è la caratteristica peculiare che ciascuno deve essere presente ad ogni livello aziendale. Ciascun collaboratore deve essere formato a gestire le sue attività a fronte di principi condivisi. Io cercavo di educare il mio interlocutore di turno alla leadership facendolo partecipare al miglioramento mediante l’iniziativa personale. Ma mi chiedevo: qual è l’attività peculiare che continuamente mette in relazione le risorse umane? La valutazione. Personaggi così preparati esercitavano continuamente una valutazione su tutto e, spesso, riscrivevano procedure già scritte. Non verificavano prima se qualcuno avesse già fatto quel cammino. Semplicemente davano corso alla visione verticale dell’azienda. AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 46 te m a 46 ❙ Rischi ❙ quali si condividono delle responsabilità, una esperienza di miglioramento a fronte di criteri, qualcosa di utile a tutti. Ci siamo concentrati sulla ownership di processo e sulla conduzione di questo. La valutazione a fronte di criteri aveva ridotto i personalismi e l’impatto dello human factor sul rischio aziendale ed esaltato l’apporto di ciascuno. Ciascuno pensa di essere un motore importante del miglioramento della riduzione del rischio che finalmente andavano a braccetto. La continua applicazione della ruota di Deming nel quotidiano riduce il rischio all’origine perché consente il miglioramento dal basso. Il miglioramento non era più l’eccezionalità di una azione correttiva ma il metodo di affronto quotidiano della realtà: costruire un successo durevole basato su dati di fatto ed il primo dato di fatto sono le risorse umane che crescono giorno dopo giorno. La storia ci aiuta sempre e ci indica la strada. L’arma vincente è agire sul sistema come in un ologramma. Ciascun processo contribuisce al successo dell’azien- da, e riproduce al suo interno le stesse logiche che guidano il sistema, miglioramento ed orientamento al cliente. Il successo durevole è fondato sulla consapevolezza delle risorse umane. Filo rosso fra tutti i processi è la gestione del rischio aziendale. Deve esistere un motivo per il quale ciascun operatore è interessato a quello che fa e si impegna per il miglioramento. Il miglioramento basato su dati di fatto educa tutta l’organizzazione ad avere dei riferimenti comuni, eventualmente e proficuamente abbinati a obiettivi personali e collegati ad una leadership, necessario atteggiamento a tutti i livelli, condotta secondo le dinamiche del miglioramento. Chiunque è interessato alla costruzione comune fa sentire una squadra non limita ad una visione locale e costruisce insieme il comune futuro. Costruire un’azienda che duri nel tempo è una politica non convenzionale, di quelle che non si leggono nei manuali, spesso lunghe e formali come la dichiarazione di indipendenza. Un SG a supporto di questo poggia su una alleanza fra tutti i coinvolti, che ha come primo presupposto il riconoscimento della necessità di una costruzione comune ed avente come obiettivo il miglioramento interno ed il riconoscimento di questo da parte del cliente. Se questa necessità deve essere riconosciuta dal basso, è difficile possa essere considerata un effetto di una scelta qualunque. Un vero sistema di gestione è l’immagine precisa delle persone che lavorano nell’organizzazione. Altro che copia ed incolla! ve interne mirate all'efficacia...). Ma Qualità continua anche a dedicare attenzione alle applicazioni della Customer Satisfaction e ad approfondire il tema della qualità strategica per l'organizzazione. - Prendono piede i registri delle professionalità AICQ e parte il registro AICQ-APCO dei consulenti nella qualità - vengono descritte le esperienze di aziende vincitrici del Premio qualità Italia e viene dibattuta le metodologia dei premi - gli stessi metodi statistici cercano un rilancio entro le ISO 9000 - si approfondisce lo studio dei metodi e dei modelli per la valutazione della qualità dei servizi - si riprendono tecniche per l'affidabilità, in particolare la FMECA e si considerano le varie fasi operative del metodo. In particolare, nel 1997, la rivista "accompagna" il diciannovesimo convegno nazionale AICQ: "Qualità: Sfida al sistema Italia"; lo situa nel-l'evoluzione internazionale ("la qualità chiave per il XXI secolo", "il management della qualità in USA", "la rivoluzione continua") e la Rivista riprende la tavola rotonda sui "servizi pubblici di fronte alla competizione"; e riflette su luci ed ombre della situazione italiana, incluse la certificazione e le prove nel Sistema Italiano per la Qualità. Dal 1998 la rivista si arricchisce ulteriormente, con numeri "a tema", con nuovi approfondimenti, con nuovi supplementi, ma essi sono ormai molto vicini a noi e ci esimono da ogni richiamo perché certamente ancora presenti nella memoria e nelle librerie degli affezionati lettori. ■ NOTE 1 Vedi soprattutto Qualità n 5/2008 settembre-ottobre – Gestione del rischio come strumento sistemico Qualità n 3/2009 maggio-giugno – rischio ed RU – Rischio attribuibile alle risorse umane e sistemi di gestione del rischio. La gestione del rischio come strumento si- stemico, parte seconda 2 ibidem 3 VEDI 4 Armando Montemarano - Certificazione di qualità e diritto del lavoro - Il Sole24ore Pirola n.37 24 settembre 2002 Continua da pagina 47 piccole e medie imprese - la prima settimana europea per qualità - la qualità dei servizi, la qualità nel-la scuola Qualità dedica articoli di applicazione non solo ai settori ormai consolidati (manifattura, servizi, automobile) ma anche ai settori "nuovi": la moda, le costruzioni, il software, le banche, i servizi di igiene urbana, i servizi di pulizia; la qualità nell'agroalimentare; - si estende l'attenzione a nuovi campi di servizi e a metodi applicabili di servizi, inclusa la verifica di qualità della medicina moderna - la rivista si impegna affinché venga capito correttamente il senso della revisione '94 delle ISO 9000, e anche affinché venga raccomandato un manuale della qualità che sia coerente con le esigenze di flessibilità delle aziende, che preveda verifiche ispetti- luglio/agosto 2011 www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 47 47 ❙ Quarant’anni di Qualità ❙ >> Dalla Redazione Qualità negli anni ‘90 di Giovanni Mattana La storia, sosteneva Benedetto Croce, è sempre storia "con-temporanea,... perché essa è, in realtà, sempre riferita al bisogno ed alla situazione presente, nella quale quei fatti propagano le loro vibrazioni". Perché, richiamare qui quel concetto? Forse per un aspetto molto importante: il 95% dei nostri attuali lettori (di tanto siamo cresciuti!) allora non c'era e non può conoscere la storia; la nostra rievocazione è rivolta principalmente a loro. Può servire a loro e come e perché? Il tumultuoso sviluppo della diffusione della qualità in questi anni non ha seguito un accrescimento regolare; la diffusione della certificazione ha messo l'enfasi più sui requisiti e sulla conformità formale ai requisiti, che non sulle tecniche utili per ottenere gli obiettivi... o sugli approcci manageriali legati alla strategia di impresa; e così molti non conoscono "che cosa c'era prima", "per quale motivo erano sorti via via nuovi approcci", "quali nuove tecniche avevano permesso di risolvere soddisfacentemente nuovi problemi". In realtà lo sviluppo, negli ultimi die-ci anni, è stato impressionante in ter-mini di pubblicazioni, di libri (aumentati forse di 100 volte), di investi-menti, di applicazioni a nuovi settori e a nuove tematiche. La gran parte di quel tesoro è ancora ampiamente sconosciuta ed ampiamente sottoutilizzata. In sintesi, si potrebbe affermare che lo scopo, oggi, di una rievocazione di dieci anni di rivista potrebbe essere quello di comprendere che cosa si intende per "cultura della qualità, qua-li sono i suoi principi e quali sono i suoi metodi", quando sono nate le sin-gole tecniche, dove hanno ottenuto risultati rilevanti, e www.aicq.it perché, per poter-le replicare. Le tematiche degli anni 1990-1993 Già nei numeri del 1990-91 troviamo un'accresciuta attenzione a vari filoni: - manager di grandi aziende portano le loro convinte testimonianze - cresce l'attenzione alle esperienze di Total Quality Management - si descrivono applicazioni di nuovi metodi: l'approccio per processi, il Quality Function Deployment, l'approccio di Taguchi per la funzione di perdita rispetto ad un valore ottimale di eccellenza, la FMEA etc. - l'avvio della certificazione, l'impostazione della documentazione, la graduazione dei requisiti, le norme della serie 45000, l'impegno dell'Europa per l'approccio globale alla certificazione ed alle prove, il richiamo a impostazioni "di sostanza" e di funzionalità per l'applicazione delle ISO 9000 - fanno capolino le prime leggi regionali di supporto alla qualità - il convegno nazionale di Torino (1990) come momento di incontro significativo per la crescita della qualità - nasce il SICEV - parte il progetto EOQ per le figure professionali ed iniziano i corsi per QSM e QP - continuano i contributi sui metodi statistici, sulla "capacità dei processi - il convegno nazionale di Roma (novembre ‘92) nella sede della Confindustria, vede la partecipazione di un folto gruppo di manager delle più importanti aziende nazionali - viene posto il problema di una strategia per la qualità a livello paese oltre che di azienda - comincia a crescere l'attenzione alle risorse umane per la qualità - inizia l'attenzione all'auto-diagnosi della qualità. Le tematiche degli anni 1994-1995 Il 1994 è un anno molto importante: in marzo, a Milano, si tiene il primo forum europeo sull'autovalutazione, seguito dal grande convegno nazionale di Varese ("qualità per competere" era il tema del Convegno ed anche il titolo del volume AICQ edito da F. Angeli, che raccoglieva gli inter-venti delle sessioni plenarie e delle tavole rotonde; significativo il tema posto ai massimi responsabili degli Organismi di accreditamento e certificazione: "in che misura gli organismi stanno applicando i metodi e i principi della qualità?"). La rivista riflette questi importanti eventi: ne riporta contributi, stimoli, discussioni molto ricchi in termini di metodo ma anche in termini di rilevanza dei successi ottenuti. Importanti voci di responsabili di aziende raccontano con calore che cosa hanno fatto in prima persona per la qualità (la loro leadership) - viene presentato l'ultimo intervento pubblico di Joseph Juran "il XXI Secolo: secolo della qualità" - si estende l'interesse per la crescita della qualità dei servizi e in particolare della sanità - un importante supplemento viene dedicato alla formazione innovativa per la qualità - inizia l'attenzione alle tematiche per l'ambiente. Le tematiche degli anni 1996-1997 In questo periodo si constata l'emergere di nuovi temi. Si possono cita-re: - la qualità della pubblica amministrazione: una nuova frontiera, - anche con l'intervento del ministro della funzione pubblica, - le carte dei servizi in Italia, - le carte del cittadino in Inghilterra, - i 100 progetti al servizio dei cittadini, - il premio Golden Helix nella sanità; - il premio italiano ed europeo per le Continua a pagina 46 luglio/agosto 2011 Q ua l i t à Sfogliando Qualità n.ro aprile 2001 AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 48 AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 49 49 ❙ Rubrica IMQ ❙ R ub r i c a I M Q www.aicq.it luglio/agosto 2011 AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 50 50 Ru b ri c a Ri n a ❙ Rubrica Rina ❙ luglio/agosto 2011 www.aicq.it AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 51 AICQ_4.qxd:AICQ_ 18-07-2011 14:47 Pagina 52 52 R u br ic a A nf i a ❙ Rubrica Anfia ❙ luglio/agosto 2011 www.aicq.it AICQ_cover_lug-ago_Cover AICQ 14/09/11 13:56 Pagina III AICQ_cover_lug-ago_Cover AICQ 14/09/11 13:56 Pagina IV
© Copyright 2024 Paperzz