COMPLIANCE

 

La compliance è l'insieme delle attività che vengono svolte per garantire il rispetto dei requisiti di Legge a cui l'Azienda deve attenersi per poter svolgere la propria attività.

  

IERI:   nel passato le poche Leggi e Norme a cui l’Azienda doveva attenersi giustificava l’approccio per singolo adempimento, adeguando attività, ruoli, procedure, a quanto richiesto.

Alle attività aziendali si aggiungeva un nuovo modello creato ad hoc, per rispondere alla singola normativa; i costi risultavano sostenibili.

 

OGGI: con il proliferare delle Leggi, Norme e adempimenti sono aumentati, di conseguenza, il numero dei modelli organizzativi aziendali (Qualità, Salute e Sicurezza, Ambiente, Modello Organizzativo conforme al D.Lgs. 231/01, Sicurezza dei Dati, . . .).

Ciò ha portato ad una difficoltà di mantenimento e aggiornamento dei modelli con alti costi per la loro gestione, evidenti inefficienze riduzione di produttività.

 

In queste condizioni spesso, l’Azienda, per ragioni di sopravvivenza e di mercato, si trova costretta a rinunciare ad essere in compliance, esponendosi così a Rischi e sanzioni molto gravi per la sua stessa sopravvivenza.

 

Risulta evidente che, per consentire all’Azienda di essere competitiva, in un mercato sempre più esigente, con Leggi e Norme sempre più restrittive sotto l’aspetto gestionale, occorre approcciarsi alla compliance in modo diverso.

 

Un diverso approccio sta nel principio di passare da adattare l’Azienda alla Legge, al predisporre un Sistema di Gestione, che vede l’Azienda come una interconnessione complessa di processi.

Alla necessità di adeguarsi ad una nuova Legge (o Norma/Regolamento) è sufficiente verificare su quali processi impatta (Risk Assessment), definire le vulnerabilità su ogni processo e, di conseguenza, stabilire le contromisure e monitoraggi.

Questo tipo di approccio consente anche di verificare il processo sotto l'aspetto di efficienza (fa emergere le inefficienze e gli sprechi).

Strumenti e le metodologie per applicazione sono già disponibili, l'investimento per l'implementazione si ripaga immediatamente, considerando i costi da sostenere per l'eventuale mancata compliance.

 

Inoltre, per l'implementazione del Sistema di Gestione della Compliance può essere utilizzata la norma ISO 19600 Linea Guida Gestione Compliance pubblicata a dicembre 2014.

 

 

PANDEMIA E BUSINESS IMPACT ANALYSIS

 

Uno degli elemento caldi di questi mesi è l'epidemia da virus Ebola. Per saperne di più sull'argomento rimando a siti istituzionali quali per esempio: http://www.salute.gov.itwww.cdc.gov www.busnagosoccorso.it , quest'ultimo ha predisposto un interessante vademecum su Ebola.

Colgo invece lo spunto per parlare di aspetti che possono coinvolgere le Organizzazioni, in generale, sul pericolo "pandemia" , per esempio la pandemia influenzale che ciclicamente coinvolge la popolazione.

 

Con riferimento al recente passato (2009-2010) pandemia virus influenzale A/H1N1, invito a riflettere (consultando i vostri dati storici) quante ore di lavoro l'Azienda ha perso e quant'è stato il mancato fatturato (o ritardo di consegna, o disservizio al cliente) a seguito di assenza di personale per malattia ?

È una riflessione a posteriori e provocatoria, che vuole sensibilizzare Imprenditore e Direzione sul fatto che competitività, fatturato, livello di servizio, perdita-mantenimento quote di mercato sono anche funzione di come l'Organizzazione si prepara ad affrontare eventi esterni che hanno impatto sul business.

Per fare ciò è necessario effettuare un'adeguata analisi sugli impatti (Business Impact Analysis) per predisporre un appropriato piano operativo (Business Continuity Plan) per permettere la continuità operativa (Business Continuity) riducendo danni e disservizi all'interno di un livello prefissato,  al verificarsi dell'evento.

 

La Business Impact Analysis individua, analizza e quantifica per ogni attività-processo l'impatto sul business del verificarsi dell'evento (dal meno significante a quello critico) e fornisce elementi utili a livello Strategico, Tattico e Operativo allaDirezione per decidere su come procedere e con quali Costi-Benefici.

La Business Impact Analysis è un documento, che rimane valido fino a quando non si verificano cambiamenti su Attività-Operatività, Processi, Mercato, Tecnologia, Rischi-Pericoli.

 

Ritornando al pericolo pandemia influenzale, quali possono essere gli interessi in gioco per l'Organizzazione?

Una pandemia può coinvolgere una quota significativa del personale, mettendo a rischio la continuità dei processi operativi. Non dimentichiamo che nelle nostre realtà aziendali la risorsa umana è sotto dimensionata e che quasi mai nell'organigramma sono previste figure di back-up sulle attività critiche (anche perché le attività critiche non sono note senza un'adeguata analisi iniziale di processo, ma solo "sentite") .

A seguito di una pandemia influenzale ecco alcuni possibili scenari:

  • una quota rilevante del personale potrebbe ammalarsi e non essere in grado di recarsi al lavoro;
  • alcuni dipendenti potrebbero rimanere a casa per evitare contatti e ridurre il rischio di contagio o per assistere i congiunti ammalati;
  • altri potrebbero non essere disposti a intrattenere rapporti con il Pubblico ed i Clienti dell’Azienda, per ridurre il rischio di ammalarsi;
  • uno o più Fornitori di prodotti-servizi in outsourcing potrebbero non essere nelle condizioni di rispettare i livelli di fornitura-servizio concordati.

Per concludere:

  • È utile prendere spunto da un evento a noi molto lontano, per analizzare e prevedere soluzioni a problemi a noi molto vicini.
  •  Parlare di pandemia influenzale in questo periodo non è fuori luogo, perché è importante sapere che "la Business Continuity non si improvvisa" , ma ci vuole tempo per essere implementata e metabolizzata all'interno dell'Organizzazione e presso i fornitori strategici.

 

DRAFT INTERNATIONAL STANDARD ISO 9001:2015 : Opportunità o . . . .

 

ISO 9001 Sistema Gestione Qualità è una norma matura, in quanto norma ISO non sembra, ma ha già più di 26 anni. In tutto questo periodo c'é stata la fase delle prime cotte, l'innamoramento, il matrimonio, le prime difficoltà, le prime delusioni, la fase di sopportazione, la fase di odio e disprezzo ed anche la separazione o la convivenza "separati in casa".

Cosa ci dobbiamo aspettare dalla ISO 9001:2015 ?

Personalmente a seguito di un'attenta lettura del DIS e di partecipazione ad un paio di convegni sono convinto che sarà una "Araba fenice".

Le premesse ci sono tutte, dipenderà molto anche da come consulenti, Organismi di Certificazione con i loro LA saranno capaci di mettersi in gioco preparandosi ad interpretare al meglio le 10 clausole di cui è costituita la norma; per fare ciò è necessario acquisire competenze trasversali e nuove competenze.

Meno formalismi più concretezza, tutti l'abbiamo urlato, e l'edizione 2015 va in questa direzione, occorre però che ogni Attore, oltre ad essere in grado di fare la sua parte sia in grado di interagire e capire, nel poco tempo a disposizione, le caratteristiche del Teatro e del Pubblico.

Ovviamente anche per l'Azienda ci saranno cambiamenti, e non saranno indolori: innanzitutto chi è al vertice dell'Organizzazione dovrà decidere, se continuare a gestire il Sistema di Gestione come un figlio non desiderato, a volte amato, ma tenuto in disparte nelle decisioni importanti, oppure inserirlo a pieno titolo come parte "integrante e condivisa" nella Governance Aziendale (riferimento clausola 4 e 5 della norma).

 

La struttura dell'edizione 2015 è definita HLS (High Level Structure) ed è comune per tutti i sistemi di gestione (esistono già dei precedenti: ISO 22301:2012 e 27001:2014 ), ciò permette l'effettiva integrazione con gli altri sistemi di gestione ed è strutturata con le seguenti 10 clausole:

1 - Scopo

2 - Norme di riferimento

3 - Termini e definizioni

4 - Contesto dell'Organizzazione

5 - Leadership

6 - Pianificazione del sistema di gestione qualità

7 - Supporto

8 - Operatività

9 - Valutazione prestazioni

10 - Miglioramento

 

Mi rimangono solo alcune perplessità:

  • Che fine faranno i sistemi di gestione "copia-incolla" e gli audit a check-list "Ce l'ho-Mi manca" ?
  • Il rappresentante della direzione sarà declassato o elevato ad altre attività, per esempio a Risk-Continuity Manager ?
  • La "line" riuscirà a fare propri i principi della norma ?

Le ferie mi aiuteranno a chiarire,  spero !  -  AUGURI di BUONE FERIE