Key4biz

AssetProtection. I soliti ignoti: processi operativi deboli nei sistemi di gestione

eSecurity

In occasione di un recente incontro con un noto gruppo bancario mi è stato chiesto, a fronte della necessità di implementare un sistema di gestione integrato da applicare in una nuova area operativa, in grado di rispondere a requisiti di qualità, sicurezza delle informazioni, continuità operativa e sicurezza e salute sul lavoro, quali fossero gli aspetti ed i processi operativi che solitamente presentano maggiori difficoltà.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Il primo meccanismo che di solito non gira bene è quello che governa l’interazione tra l’area operativa, che esprime un’esigenza, l’ufficio della compliance, l’ufficio legale e l’ufficio acquisti.

Tutte le normative – siano esse obbligatorie, esimenti oppure facoltative – che hanno un approccio fondato sulla valutazione e ponderazione del rischio, prevedono anche un controllo stringente sulla catena di fornitura.

Il controllo ha origine proprio al momento della stipula del contratto con fornitori e outsourcer, attraverso una dichiarazione esplicita di requisiti e responsabilità. Ma nel continuo rimpallo delle bozze contrattuali non è cosa del tutto improbabile che si perdano alcuni paragrafi, a volte anche solo di due righe, forse perché poco chiari, forse perché scomodi per qualcuno, ma che invece possono rappresentare il nodo centrale di risposta a questioni molto delicate, alle quali si presta attenzione solo in un secondo momento, quando si è già verificato un incidente.

Per di più, focalizzando l’attenzione sull’attività di revisione dei contratti, è vero che è importante il compito di ottimizzare i costi e quindi rivedere i prezzi, ma altrettanto lo è quello di rianalizzare i requisiti fissati, valutandone l’adeguatezza anche alla luce degli eventi accaduti. Non è certamente facile creare armonia in questo processo, nel quale intervengono figure con competenze diverse che parlano lingue diverse, ma è sicuramente una delle sfide principali da affrontare.

Il secondo meccanismo da rodare, e che per mia personale esperienza rappresenta in assoluto il rischio più elevato di compromissione dell’intero progetto, è l’interazione tra l’ufficio HR e tutte le persone che lavorano nell’organizzazione.

La gestione delle risorse umane non riguarda solamente l’aspetto amministrativo e la fase di selezione – gli ambiti sui quali solitamente ci si focalizza maggiormente – ma ulteriori importanti dinamiche spesso trascurate.

Infatti, a fronte  dell’individuazione delle regole che governano il sistema di gestione, ne deve seguire la corretta e chiara comunicazione a tutte le persone direttamente o indirettamente coinvolte.

Inoltre deve essere erogata un’adeguata formazione continuativa nel tempo: non di una volta sola, tanto per confermare che si è svolta, ma finalizzata a generare cultura aziendale. Deve poi essere verificata l’efficacia della formazione, attraverso la somministrazione di test ma anche questionari di people satisfaction, perché la difficoltà potrebbe non essere di chi ascolta ma di chi spiega.

Si deve poi provvedere all’acquisizione della dichiarazione delle persone che hanno partecipato ai corsi di aver compreso gli argomenti trattati. Quest’ultima fase rappresenta un passaggio fondamentale al fine di rompere una naturale barriera che in molti ergono di fronte all’assunzione di specifiche responsabilità. Infine deve essere comunicato un sistema disciplinare adeguato, in grado di interpretare la risposta dell’organizzazione a fronte di un’eventuale violazione, non necessariamente deliberata, delle regole stabilite.

E’ inoltre possibile identificare in ulteriori due processi di supporto, tanto conosciuti come trascurati, a volte persino banalizzati, il rischio di insuccesso di un sistema di gestione: il processo documentale ed il project management. Entrambi richiedono non solamente la competenza delle persone che vi partecipano ma anche la presenza di adeguati strumenti tecnologici in grado di supportare le attività svolte.

E’ opportuno notare che da qualche anno le norme internazionali ISO non fanno più riferimento a documenti, bensì parlano di informazioni documentate.

E’ ormai chiara l’esigenza di rispondere alle modalità di generazione e distribuzione delle informazione, che avviene anche sotto forma di flowchart configurati nei sistemi ERP oppure di record nei database.

Il fatto che il mercato proponga soluzioni adeguate non significa però che anche grandi organizzazioni, pur avendo accesso alle risorse economiche necessarie, dispongano di questi sistemi, tutt’altro.

Qual è quindi il rischio? I processi e le istruzioni operative esistono e sono anche descritte in modo efficace, ma all’atto pratico risultano indisponibili: quando i fruitori le cercano, non sanno dove trovarle oppure desistono dal consultarle perché sanno che impiegherebbero troppo tempo per trovare ciò stanno cercando.

Certamente i motori semantici e ontologici offrono un approccio tecnologico adeguato ed i costi sono già ragionevoli. Ciò che occorre concretamente è lo svolgimento di un’attività di mappatura dei contenuti e delle relative fonti. Non è trascurabile il margine di efficienza che se ne può ricavare né il livello di efficacia che un sistema di gestione integrato può raggiungere grazie a questi accorgimenti, ma l’effettiva coscienza circa il tema appare ancora lontana.

Il project management è una brutta bestia, spesso sottovalutato e ricondotto ad una misera elencazione di ‘to do list’. C’è poi l’intramontabile questione della coperta troppo corta: quando si tenta di aumentare la qualità del progetto, anche tempi e costi salgono, viceversa quando si tenta di diminuire costi o tempi, diminuisce anche la qualità.

Ma per ciò che riguarda il mantenimento di un sistema di gestione integrato, con specifico riferimento ai momenti di configurazione del piano di trattamento dei rischi identificati, allo svolgimento di test, controlli ed esercitazioni, e correzione e miglioramento continuo, è un passaggio fondamentale.

In alternativa le attività precedentemente indicate rischiano di generare costi spropositati, così elevati da far passare la fantasia a chiunque di fare Qualità e Sicurezza. Anche in questo caso – non me ne vogliano gli specialisti che hanno fatto i conti con modelli complessi – il mercato mette a disposizione una moltitudine di strumenti low cost in grado di dare il primo passo verso una ragionevole armonizzazione degli elementi in gioco.

L’iscrizione sul tempio di Apollo, a Delfi, parla chiaro e non ha perso d’attualità nei secoli: Conosci te stesso. Con la speranza che chi ascolta sappia ammettere i propri errori, le proprie mancanze e da lì ripartire per cambiare.

Exit mobile version