I sistemi di gestione – indistintamente che si parli di qualità, sicurezza e salute, sicurezza delle informazioni, continuità operativa, sicurezza dell’ambiente, responsabilità sociale o altri aspetti – apportano numerosi vantaggi, come più volte sottolineato, alle organizzazioni che decidono di applicarli.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Per dirla con poche e semplici parole, i sistemi di gestione permettono a tutte le persone che collaborano nella stessa organizzazione di fare le cose per bene e una sola volta (per il principio della ripetibilità).
Contribuiscono a generare e diffondere una cultura aziendale coerente con gli obiettivi di alto livello definiti dalla Direzione (per il principio della consapevolezza). Infine contribuiscono a preservare l’efficacia degli obiettivi stabiliti anche nel medio-lungo termine (per il principio della valutazione e gestione dei rischi). E’ proprio quest’ultimo principio che determina il costante riallineamento dei due precedenti sulla base delle evidenze di volta in volta raccolte.
Sarebbe però poco sincero non ammettere che tutte le attività richieste dagli specifici requisiti non risultino onerose, in termini di disponibilità di tempo e a volte di risorse economiche. In alcuni casi, possono anche apparire limitanti rispetto all’agilità organizzativa e alla prontezza al cambiamento richieste alle organizzazioni in questo periodo in cui la realtà si è fatta liquida.
Se c’è stato un tempo in cui alcune aziende hanno pensato di poter mantenere il bollino (mi riferisco al certificato rilasciato dall’ente a seguito della conduzione dell’audit annuale di sorveglianza) con un sistema di gestione tutto descritto su carta, ma che all’atto pratico funzionava con procedure improvvisate sul momento, ora non è più possibile credere che questa sia una soluzione sostenibile.
Proprio a questo proposito è oramai essenziale valorizzare e ottimizzare al massimo il momento di raccolta dei feedback che provengono da tutte le parti interessate, la conseguente distribuzione delle responsabilità di applicazione e verifica dei trattamenti necessari, la successiva rivalutazione dei rischi ed il contestuale aggiornamento degli indicatori che permettono di monitorare l’efficacia dei sistemi di gestione.
Ad esempio, un reclamo segnalato da un committente può richiedere nell’immediato la variazione di una procedura operativa e contestualmente evidenziare la necessità di aggiornare alcuni aspetti procedurali correlati alla sicurezza delle informazioni e alla sicurezza e salute sul lavoro, coinvolgendo di fatto funzioni diverse con skill completamente differenti.
I modelli e le tecnologie dei quali disponiamo sono maturi per fornire un supporto efficace anche in questa situazione, permettendo di ipotizzare una sostanziale automazione nella distribuzione dei trattamenti attraverso un’attività preliminare di tagging.
Contestualmente è verosimile ipotizzare anche l’aggiornamento automatico delle misurazioni dei KPI e il monitoraggio dello stato dei trattamenti, prevedendo meccanismi automatici di alerting e escalation nei casi di inefficienza.
E’ sicuramente una sfida ambiziosa, all’avanguardia ma non futuristica, in cui sono chiamate a collaborare persone con competenze profondamente differenti e che in passato raramente hanno interagito.
E’ una visione nuova da concretizzare mettendo d’accordo operazioni di Quality e Compliance, process engineering, business intelligence e progettazione di sistemi IT.
Ovviamente, alcuni colossi del mercato mondiale hanno già fatto la loro proposta, mettendo a punto software discutibilmente validi ma senza dubbio costosissimi, offrendo Kb elaborati a peso d’oro. Personalmente credo più in una soluzione modulare, da realizzare sulla base delle esigenze dell’organizzazione, reimpiegando le soluzioni tecnologiche delle quali già dispone ed investendo nell’integrazione dei sistemi, tutta orientata a raccogliere gli alert umani, quelli che la sola tecnologia non riesce a vedere.
