Chiunque investa risorse per la configurazione, applicazione e certificazione di sistemi di gestione conformi con i requisiti condivisi in ambito internazionale, la cui adozione è facoltativa per le organizzazioni, si sarà sentito ripetere sempre la stessa domanda, ricorrente ed insistente: “ma chi te lo fa fare”?
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Questo stesso quesito è stato oggetto di confronto tra un’azienda in corso di certificazione ed il Lead Auditor dell’ente certificatore, durante la riunione conclusiva di audit. Quelli riportati sono gli argomenti trattati in quell’occasione.
L’applicazione e certificazione di un sistema di gestione, specie se fondato su norme più articolate, come ad esempio la ISO 27001 – Sistema di Gestione per la Sicurezza delle informazioni oppure la ISO 22301 – Sistema di Gestione per la Continuità Operativa, è una scelta indubbiamente costosa, in alcuni casi con un’incidenza significativa sul budget a disposizione, già di per sé limitato.
Si deve poi considerare che genera un valore non facilmente riconoscibile in fase di trattativa commerciale. Quindi, se per caso si tenta di considerarne i costi in fase di formulazione dei prezzi riportati in un’offerta, si schizza direttamente fuori mercato. Succede anche con i grandi gruppi internazionali, nei quali però i dipartimenti che gestiscono le relazioni con gli outsourcer non sempre hanno grande dimestichezza con i temi legati alla compliance.
Di contro, una volta arrivati all’ufficio acquisti, la procedura di accreditamento come fornitore risulterà molto più veloce. Al lato delle centinaia di quesiti di due diligence, tutti – o quasi – requisiti definiti nelle principali normative internazionali, sarà sufficiente indicare il numero di certificato rilasciato dall’ente accreditato. Infine, solo in alcuni casi, il possesso del certificato rappresenta anche la chiave di accesso ad interessanti bandi di gara, che però dichiarano sempre esplicitamente il dominio della rilevanza del prezzo (a ribasso) sui più marginali aspetti di conformità.
Prendendo in considerazione il contesto interno all’organizzazione, è invece decisamente più semplice riconoscere il valore dell’adozione di sistemi di gestione e la relativa conduzione di un processo indipendente di audit. Basti pensare ai grandi margini di incremento di efficienza che è possibile ottenere unificando i processi di reporting e quelli strategico-decisionali, attraverso l’applicazione di un modello GRC. Ogni sistema di gestione, se pur in modo più o meno evoluto, si articola in 3 fasi principali:
- la valutazione del contesto, con focus approfondito sui requisiti legali e contrattuali, rispondendo quindi alle esigenze di compliance;
- la conduzione di un processo formale di risk management, favorendo la consapevolezza circa i rischi che incombono sull’organizzazione;
- la governance, focalizzando le attività rivolte al core business sul raggiungimento degli obiettivi definiti, garantendone l’efficacia e l’efficienza anche nel medio lungo periodo attraverso l’applicazione di contromisure e controlli posti a presidio dei rischi identificati.
Durante lo svolgimento degli audit di certificazione – succede anche negli audit interni ma con una minore capacità critica – divengono oggetto di monitoraggio anche i fornitori implicati nei processi o servizi oggetto di indagine, assicurando un controllo, non solo di natura formale ma anche sostanziale, sulla supply chain.
L’organizzazione, nell’ottica di applicazione continuativa delle fasi di progettazione, realizzazione, controllo e miglioramento sui processi, anche quelli di natura operativa, acquisisce un livello di maturità notevole, consentendo alle persone che vi lavorano di sviluppare un grado di consapevolezza e competenza apprezzabili. In cosa si traduce in pratica? Attività ripetibili, ben definite e documentate anche a livello formale, condotte velocemente con un basso margine di errore ed infine ben allineate con le aspettative dei clienti.
In conclusione, la Qualità, la Sicurezza e la Sostenibilità del business sono aspetti difficili da valutare economicamente – anche se le attività ad essi correlate incidono visibilmente nelle voci di costo – e soprattutto da rivendere ai propri clienti. Ciò non significa che siano incalcolabili nei margini economici di efficienza conseguiti, che per altro si dimostreranno apprezzabili. Se i sistemi di gestione con i quali vengono governati sono oggetto di controllo periodico ed indipendente da parte degli enti accreditati, possono rappresentare le fondamenta di una scelta strategica per garantire stabilità e continuità dell’organizzazione, la giusta spinta al miglioramento. Di contro possono essere interpretati come ideali astratti non compatibili con le esigenze del momento. Come sempre, la scelta all’imprenditore.