Mi occupo dal 1999 di certificazioni secondo standard ISO. Ogni volta che apro un post o un documento sul web scopro delle assurdità che stento a credere possano essere dette da persone mediamente competenti.
Persone che millantano certificazioni come “lead auditor” (e non qualifiche come dovrebbero), aziende che espongono certificati che sono stati rilasciati da fantomatici Organismi di Certificazione mai sentiti o non accreditati. Consulenti che non conoscono le norme di cui si occupano e conducono i clienti verso un inevitabile disastro nel corso degli audit di certificazione oppure che, con astute “combine”, guidano il cliente verso Organismi di Certificazione “benevoli” che regalano certificati come se fossero omaggi.
Abbiamo aziende leader nei mercati di tutto il mondo, un export di tutto rispetto, imprenditori visionari che hanno avviato attività impensabili. Eppure, non appena si parla di certificazioni ISO diventano tutti degli sprovveduti. Anzi, cercano il certificato gratuito, l’offerta chiavi in mano consulenza-certificazione (che è stravietata) al più basso prezzo possibile.
Ma quale dei fornitori di un’azienda viene pagato per non fare il lavoro per cui è stato ingaggiato?
Quando arrivi in un’azienda come consulente o auditor ISO pare che tutto sia improntato al “non ci far perdere tempo, fai quello che devi e vattene”. Il bello è che consulenti e auditor senza scrupoli sfruttano questa situazione agevolando questi comportamenti e frodando di fatto gli imprenditori incauti. Rifilandogli sistemi fasulli e certificati a dir poco opinabili.
L’importanza delle certificazioni
Un certificato è un’attestazione, rilasciata da un organismo competente (meglio se accreditato), che dichiara che un’organizzazione, un prodotto e/o una persona è conforme ad un determinato standard di riferimento.
Il sistema di certificazione si riferisce a sua volta a standard ISO che ne regolano il funzionamento. Al di sopra del sistema di certificazione abbiamo il sistema di controllo esercitato dagli organismi di accreditamento (in Italia abbiamo Accredia), in Europa l’accreditamento è regolamento dal Regolamento (CE) N. 765/2008.
Stiamo quindi parlando di un sistema nazionale (Accredia) che risponde ad uno europeo (EA) che risponde ad uno mondiale (IAF). Una catena di riferibilità che permette, ad esempio, di verificare la validità di qualsiasi certificato, dell’Organismo di Certificazione che lo ha rilasciato (incluse eventuali limitazioni e restrizioni), e dell’accreditamento che sostiene il certificato.
Accordi di mutuo riconoscimento (MLA/MRA) permettono ai certificati, rilasciati da Organismi di Certificazione accreditati, di essere accettati in tutta Europa e in tutto il mondo.
Non mi pare una cosetta da affidare al primo che passa. Almeno uno straccio di verifica sul chi mi metto in casa io lo farei.
Come tutti gli acquisti un prezzo troppo basso in genere è sospetto tanto quanto un prezzo eccessivamente alto. In un mercato libero però il prezzo non può essere l’unico strumento di verifica e scelta. Il sito di Accredia mi permette di verificare se l’Organismo di Certificazione ha accreditamenti validi nel mio paese, se il certificato che rilascerà gode del mutuo riconoscimento (per utilizzarlo oltre i confini nazionali) e se ha competenze specifiche nella norma cui sono interessato. Non tutti gli Organismi di Certificazione sono accreditati per tutte le norme.
Chi le opera
A titolo di puro esempio: in Italia operano circa un centinaio di Organismi di Certificazione (tra nazionali ed internazionali) ma solo 15 sono accreditati per la sicurezza delle informazioni o ISO/IEC 27001 che, badate bene, non è sicurezza informatica né cybersecurity.
Sapere cosa comprare è una responsabilità dell’acquirente. Così come ci documentiamo per l’acquisto di un PC, di un’automobile o di qualsiasi altra cosa è necessario che l’imprenditore (o chi per lui) capisca cosa sta comprando e da chi. Soprattutto occorre tenere a mente che in genere le certificazioni ISO sono su base volontaria. Chiaramente il mercato spinge per avere filiere certificate ma l’adozione di un sistema di gestione rimane comunque una scelta volontaria, soprattutto nel campo della sicurezza delle informazioni. Quindi tutta questa ansia e voglia di “aggirare” l’ostacolo è scarsamente comprensibile, almeno agli occhi di un auditor, cioè di colui che viene chiamato a verificare la conformità ad una norma che un’azienda ha scelto liberamente di adottare.
Voglio provare a spostare la situazione in un altro ambito. Supponiamo che decidiate di fare un check up sanitario. Cosa fate come primo passo? Cercate un ospedale o una clinica che assicuri la qualità della prestazione sanitaria, e subito dopo cercate di ottenere il miglior servizio al prezzo più conveniente, magari per mezzo di assicurazioni. Dove cercate gli ospedali e cliniche? Come verificate se sono autorizzati ad eseguire le prove di cui avete bisogno? Come vi accertate che i risultati sono affidabili?
Bene, arriviamo al fatidico giorno in cui vi recate presso la struttura che avete selezionato per il vostro check up. Immaginate di andare lì e portarvi delle urine di un amico perfettamente sano (dice lui), una fiala di sangue di un altro amico sanissimo (sempre secondo lui) e di chiedere ai medici di non prelevare campioni ma di fidarsi di quelli che avete portato. Secondo voi cosa accadrebbe?
Quello che vedo durante gli audit di certificazione è esattamente la stessa cosa: un imprenditore mi fa vedere un sistema di gestione che secondo lui è perfetto (glielo ha giurato e confermato un amico consulente che come minimo non ha alcun titolo) e che quindi non necessita di verifica, che può essere certificato “as is”.
Voi cosa fareste? A volte c’è da sorridere altre meno. Specie se l’azienda è stata truffata. Non è la prima volta che durante un “take over” (cioè il passaggio da un Organismo di certificazione all’altro) mi imbatto in sistemi di gestione fantasma (cioè che non esistono affatto) ed in rapporti di audit di altri organismi che avallano tale situazione. Siamo al limite del reato, come minimo è una truffa.
Purtroppo gli imprenditori “cadono dal pero” e scoprono di non avere un bel niente in mano e di averlo pagato (anche se poco) senza alcun risultato.
Alcuni esempi
Non sto parlando di cose rare, l’ultimo è meno di 20 gg prima di questo articolo. Il responsabile delle certificazioni, vedendosi affibbiare una dozzina di non conformità (cioè cose che non vanno e che devono essere messe a posto in tempi prestabiliti) stentava a credere la nostra onestà non avendo mai ricevuto nulla del genere nei 3 anni precedenti. Poi messo di fronte all’evidenza oggettiva (norma alla mano) ha scoperto di essere stato frodato e di non avere chance di recuperare essendosi fidato di un Organismo non accreditato e consulenti senza nulla da perdere.
O se preferite: il CISO di una multinazionale mi prega di andarlo a trovare, al telefono è agitatissimo e mi dice che la situazione è molto imbarazzante. Concordo un appuntamento in tarda serata. Mi riceve in una sala riunioni direzionale e mi dice di essere in un mare di guai perché il loro cliente principale, nel corso di un audit, ha scoperto che la loro certificazione ISO/IEC 27001 non ha un accreditamento valido nel territorio italiano e che pertanto il contratto è a rischio visto che l’azienda ha dichiarato di essere certificata da organismo accreditato. Mi metto all’opera e rintraccio rapidamente (grazie ai siti Accredia, EA e IAF) tutto quello che c’è da sapere. La situazione è pazzesca: l’organismo di certificazione che ha rilasciato il certificato ha un accreditamento limitato solo alla nazione di residenza (sto parlando di Europa dell’Est). Quindi il cliente ha ragione: il certificato non ha validità perché non accreditato come da lui richiesto.
Vista la situazione chiedo al CISO di mostrarmi la documentazione del sistema di gestione per capire cosa si possa fare. Qui faccio la scoperta più incredibile: l’azienda non ha un sistema di gestione. I documenti sono in mano ai consulenti che non hanno mai lasciato nulla in azienda…pazzesco. Sapete come è finita? Abbiamo scritto daccapo l’intero sistema di gestione (stavolta vero e in mano all’azienda) ed abbiamo fatto richiesta ad un organismo accreditato per l’avvio della certificazione (quella vera). Tempi: 6 mesi circa.
In questo momento l’azienda gestisce il proprio sistema di gestione in proprio (cioè senza consulenti) avendo acquisito le competenze necessarie nel corso del progetto. Il certificato è stato esteso a tutte le sedi mondiali e continua ad espandersi includendo anche altre norme.
Non ci si abitua a queste cose. Ancora oggi mi arrabbio profondamente e sono incredulo, non solo come auditor ma anche come imprenditore. Non abbiamo bisogno di queste situazioni. Abbiamo consulenti preparatissimi le cui credenziali sono facilmente verificabili, così come per gli auditor e per gli Organismi di Certificazione.
La fortuna (se così si può dire) è che i casi di cui vi ho parlato sono meno del 20% nella mia esperienza e che in genere si riesce a guidare la malaugurata azienda in un percorso di recupero che le permetterà di avere un verso sistema di gestione ed un vero certificato in circa 6 mesi.
Durante i corsi spiego spesso il modo di verificare le credenziali di organismi, auditor e consulenti. È uno degli argomenti che cattura di più l’attenzione. Incredibile ma è così.