IL MESTIERE DEL VALUTATORE - aicqna.itaicqna.it/wp-content/uploads/2017/02/AICQ_4_2012.pdf · dibilità delle certificazioni; Il primo orien - tato a incrementare significativamente

PosteIta

liane

s.p.a.

–Sp

edizione

inAb

bona

men

toPo

stale–D.L.

353/20

03(con

v.in

L.27

/02/20

04n°46

)art.1comma1–DC

BMilano

-Co

ntiene

I.P.

IL MESTIERE DEL VALUTATORENUOVA ISO 19011: LE NOVITÀ E L'IMPATTO

EFFICACIA DEI PROCESSI E COMPETENZE ORGANIZZATIVE

AUDIT ENERGETICO - MISTERY AUDITOR

NUOVI SISTEMI DI GESTIONE E D.Lgs 231D.LGS 231 E REATI AMBIENTALI

GESTIONE DEI RISCHI PORTFOLIO DEI RISCHI E GESTIONE STRATEGICA

RISCHI NELLA INTERNAZIONALIZZAZIONE

RISCHI NELLE CATENE DI FORNITURA

n.4/2012 Luglio - Agosto

Associazione Italiana Cultura Qualità

FEDERAZIONE NAZIONALE20124 Milano - via Cornalia, 19tel. 02 66712484 - fax 02 [email protected] - http://www.aicqna.comPresidente: Vincenzo MazzaroVicepresidente: Marco GentiliniAssemblea: Giovanni Romano; Federica Galleano;Santo Paternò; Antonio Lanzotti; Ettore La Volpe; FrancoDrusiani; Marco Gentilini; Alberto BobboGiunta esecutiva: Giovanni Romano; Alessandro Manzoni;Marco Gentilini; Walter Piacentini; Claudio Rosso;Santo Paternò; Ettore La Volpe; Alberto BobboSegretario Generale: Ettore La VolpeSegreteria Nazionale: Annalisa Rossi

ASSOCIAZIONI TERRITORIALI DELLA FEDERAZIONEAICQ - Associazione Italia Centronord20124 Milano - via M. Macchi, 42 - tel. 02 67382158fax 02 67382177 - [email protected]: Giovanni RomanoAICQ - Associazione Piemontese10128 Torino - via Genovesi, 19 - tel.011 5183220fax 011 537964 - [email protected]: Federica GalleanoAICQ - Associazione Tosco Ligurec/o CIPAT Via dei Pilastri n°1/3 50121 FirenzeTel. e fax 055 481524Presidente: Fazio CarotiAICQ - Associazione Triveneta30174 Mestre (VE) - Galleria Giacomuzzi, 6tel. 041 951795 fax 041 940648 - [email protected]: Alberto BobboAICQ - Associazione Emilia Romagna40129 Bologna - via Bassanelli, 9/11tel. 3355745309 - fax 051 0544854 - [email protected]: Andrea MinariniAICQ - Associazione Centro Insulare00185 Roma - via di San Vito, 17 - tel. 06 4464132fax 06 4464145 - [email protected]: Sergio BiniAICQ - Associazione Meridionale80125 Napoli - via Giulio Cesare, 101 - tel. 081 2396503fax 081 6174615 - [email protected]: Antonio LanzottiAICQ - Associazione Sicilia90139 Palermo - via F. Crispi 120,c/o Ordine degli Ingegneridella Provincia di Palermocell. 334. 95 49 274 - fax 091 [email protected]: Santo Paternò

FEDERATE DI SCOPO DELLA FEDERAZIONEAICQ - SICEV20124 Milano - via Cornalia 19tel. 02 66713425 - fax 02 [email protected]

SETTORI TECNOLOGICISettore AlimentarePresidente: Claudio MarianiSettore AutoveicoliPresidente: Federico RivoloSettore Costruzioni CiviliPresidente: Antonino SantonocitoSettore Elettronico ed ElettrotecnicoPresidente: Giovanni MattanaSettore Servizi per i TrasportiPresidente: Sergio BiniSettore TurismoPresidente: Caterina FiorittiSettore Trasporto su RotaiaPresidente: Gianfranco SaccioneSettore ScuolaPresidente: Paolo Senni Guidotti Magnani

COMITATI TECNICIComitato Ambiente e EnergiaPresidente: Antonio ScipioniComitato Salute e SicurezzaCoordinatore: Diego CerraComitato Metodi StatisticiPresidente: Egidio CasciniComitato Metodologie di Assicurazione della QualitàPresidente: Francesco CarrozziniComitato Normativa e Certificazionedei Sistemi Gestione QualitàPresidente: Cecilia de PalmaComitato Qualitàdel Software e dei servizi ITPresidente: Mario CislaghiComitato Risorse Umane e Qualità del LavoroPresidente: Piero Dettin

sommario2

EditorialeAudit e iso 19011:2011 3Giovanni Mattana

Tema 1 - Il Mestiere del ValutatoreLa sfida della competenza e dell’efficacia 4Giovanni Mattana

Che cosa cambia nella conduzionedegli audit? 9Giorgio Gallo, Pieraldo Mori, Valerio Paoletti

Efficacia dei processi e nuovi strumentiapplicativi 14Antonino Ciancio

Le competenze organizzativeper il futuro dei SG 19Alberto Mari

Professione Mystery Auditor 24Susanna Gonnella, Paola Veneziani

Audit energetico e ISO 50001 27Riccardo Visinoni

Comitato editoriale e di supportoComposto da: Giovanni Mattana (coordinatore),Presidente AICQ, Sergio Bini, Claudio Rosso,Pietro Fedele, Egidio Cascini, Mario Cislaghi,Cecilia de Palma, Piero Dettin, Italo Benedini.EditoreMediavalue srlVia G. Biancardi, 2 - 20149 Milanotel. +39 0289459724 - fax +39 0289459753www.mediavalue.it - [email protected], grafica, [email protected]@mediavalue.itPubblicità[email protected] - NovaraGli articoli di questo numero, pur ritenuti validi daglieditori per il loro contenuto, vengono pubblicati sotto la

responsabilità degli Autori.In conformità a quanto previsto dal D.lgs. n. 196 del30 giugno 2003 (Codice in materia di protezione dei datipersonali) e fatti salvi i diritti dell’interessato ex art. 7del suddetto decreto, l’invio di Qualità autorizza AICQstessa al trattamento dei dati personali ai fini dellaspedizione di questa pubblicazione.Diritti riservati - Pubblicità inferiore 50%Distribuzione: La rivista - bimestrale - è stampatain 8.000 copie a numero e ha distribuzione nazionale.Viene inviata a tutti i Soci AICQ in abbonamento postale,e ai responsabili qualità delle aziende.Spedizione in abbonamento postale - DL 353/2003(conv. in L. 27/2/2004 n. 46) art. 1 comma 1 - DCB Milano.Prezzi di vendita per l’Italia: una copia € 5,00, copiaarretrata € 5,00, abbonamento annuo (6 numeri) € 55,00.Per l’estero: una copia € 10,00.Il pagamento può essere effettuato tramite bonifico sul c/cbancario: IBAN IT33N0569634070000002372X67intestato a Mediavalue srl

n. 4 luglio/agosto 2012

Edizione Nazionale AICQAutorizzazione del Trib. di Torinon. 783 del Registro del 28/11/52

ISSN 2037-4186

Direttore responsabileGiovanni Mattana

RedazioneAnnalisa Rossi

Segreteria di redazioneAICQ - via Cornalia, 1920124 MilanoTel. 02 66712484Fax 02 [email protected]

Ringraziamo tutti coloro che hanno contribuito alla pubblicazione ed in particolare il ComitatoNormativa dei Sistemi di gestione ed il suo Presidente Cecilia de Palma

Tema 2 - Nuovi Sistemi di Gestionee D.Lgs 231D.Lgs 231/2001 e reati ambientali 31Claudio Provetti, Laura Catellani

Tema 3 - Gestione dei rischiStrategic Risk Management:verso un approccio integrato 34Cecilia de Palma, Gaetano Macario

La gestione integrata del portfoliodei rischi aziendali 38Domenico Faraglia

Risk Management nei processid’internazionalizzazione 44Gaetano Macario

La gestione dei rischi nelle catenedi fornitura 48Domenico Faraglia

Rubrica ANFIA 53a cura di Anfia

Rubrica Certiquality 55Armando Romaniello

Corsi 56a cura della Redazione

Audit e iso 19011:2011Il processo, l’efficacia, la competenza,il valore aggiunto

luglio/agosto 2012www.aicq.it

eeddiittoorriiaallee3

Giovanni Mattana

Quando, nei corsi di formazione sulla nuova Iso 19.011, chiedo ai partecipanti quanto sono soddisfatti della situazione degliaudit interni, i giudizi si differenziano ma emergono anche alcuni dati significativi: pochissime persone sono molto soddisfattedello strumento dell’audit, molti lo considerano un mero adempimento, non un processo da governare e migliorare, come richie-de la norma; la gran parte ritiene che il valore aggiunto sia modesto; e quasi mai viene effettuata una verifica se l’idea dell’auditche comunque guida l’auditor è corretta.Da un audit all’altro si migliora molto poco. E l’auditor esterno, che dovrebbe valutare se l’audit interno è stato eseguito bene ein modo efficace, spesso... non lo guarda nemmeno e non assegna quasi mai delle NC relative al modo in cui è effettuato l’auditinterno.La nuova edizione della Norma ha introdotto importanti innovazioni- ha differenziato l’audit interno richiesto dalle norme da quello esterno per la certificazione differenziandone lo scopo, le moda-

lità, le competenze; - ha introdotto il rischio dell’audit (e sua valutazione preventiva e consuntiva): sia il rischio che l’Audit non ottenga gli obiettivispecifici in precedenza fissati; sia il rischio che il Sistema di Gestione, di cui l’audit è uno degli strumenti di misurazione, nonraggiunga gli obiettivi specificati; sia il rischio che non siano sufficientemente solidi i pilastri del sistema (non solo le procedu-re!) richiamati in quel dna dei sistemi che sono la Guida Iso 72 e Guida Iso 83 ( il contesto dell’organizzazione, la leadership,la pianificazione, il riesame, il miglioramento), per potersi parlare di Sistema conforme ed efficace!- ha esteso il programma di audit (e anche il riesame del programma di audit);- ora la norma chiede l’efficacia dell’audit e del sistema, in misura molto maggiore che in precedenza, richiamandola ben 41

volte;- ora la norma chiede che venga esplicitata, misurata, migliorata la competenza, ed è noto che la qualità dell’audit non può esse-

re migliore della competenza dell’auditor.La messa in pratica della Norma: una rivoluzione o qualche miglioramento ‘cosmetico’?- può darsi che si faccia in modo che, complessivamente, cambi poco;- ma può anche darsi che, almeno per i più volonterosi, si apra uno scenario di maggior valore aggiunto (cosa si potrebbe otte-nere anche dalla varietà degli obiettivi possibili indicati dalla norma, nell’interesse delle aziende?)- può darsi che si aprano, sulla base di un censimento delle competenze esistenti, nuovi programmi di miglioramento delle com-petenze, di quali competenze voler conseguire in un dato arco di tempo, di dimostrazione del loro utilizzo, nuove valorizza-zioni dei campi di competenze, nell’interesse stesso delle persone e dei loro curricola; di esplorare il mondo di quanto non cono-sciamo ed estendere la consapevolezza di sapere di non sapere;- può darsi che nasca la consapevolezza di un grande potenziale di produttività non utilizzato. La nuova Iso 19011:2011 può costituire una grande opportunità se tutti gli attori ( aziende, valutatori, organismi di certifica-zione dei sistemi di gestione e del personale, ACCREDIA) sapranno interpretarla correttamente e adeguatamente.Ne parliamo ampiamente nel tema il mestiere del valutatore presente in questo numero, con vari contributi significativi specifici,ma anche con l’intenzione di aprire un dibattito che aiuti a dare slancio a una campagna di valore aggiunto dell’audit, come con-tributo alla produttività, ma anche come rivalutazione dell’efficacia rispetto alla sola conformità.

>>

� Il Mestiere del Valutatore �

luglio/agosto 2012 www.aicq.it

4tteemmaa

dit e certificazione di sistemi di gestio-ne.Differenziazione incentrata innanzituttosulle differenti finalità dei due tipi di au-dit, il primo mirato ad un recupero di va-lore aggiunto per le organizzazioni e for-temente personalizzato sulle esigenze in-terne; il secondo teso ad aumentare launiformità e verificabilità e quindi cre-dibilità delle certificazioni; Il primo orien-tato a incrementare significativamentel’efficacia degli audit, il secondo a mi-gliorare la trasparenza e uniformità delprocesso di certificazione. Entrambi però impegnati per una cresci-ta continuativa delle responsabilità e del-le competenze dei valutatori, base indi-spensabile per ottenere maggior valoreaggiunto sulle rispettive attività; attivitàche ora saranno molto più differenziateche in precedenza. Dato il rilevante impatto di tali normati-ve sia sugli aspetti formali della certifi-cazione che sulla efficacia dei Sistemi diGestione, risulta altamente opportunoche gli operatori coinvolti ne assimilinoprontamente sia gli aspetti formali chequelli sostanziali.I cambiamenti più significativi sono quin-di costituiti:

Giovanni MattanaPres. Commissione UNI per i Sistemi di Gestione per la Qualità e coordinatore GL misto per la Iso19011

La sfida della competenzae dell’efficacia

� dalle motivazioni per i cambiamen-ti introdotti nella revisione delle duenorme,

� dalla nuova relazione fra le due nor-me

� dalla nuova definizione del loro di-verso campo di applicazione

� dai loro differenti scopi.

L’evoluzione dei cambiamenti normativiPuò essere utile ricostruire la evoluzio-ne, in quanto poco nota.a. La situazione antecedente al 2011 (ve-

di tabella 1)b.Verso il 2006-2007 si definiscono le

esigenze da soddisfare nella prossimarevisione

Si constata che, nella pratica, la scarsadifferenziazione tra gli audit di parte pri-ma (richiesti dalla ISO 9001 e dalle ana-loghe norme per gli altri Sistemi di Ge-stione) e quelli effettuati per la certifica-zione: � riduce fortemente il valore aggiun-to dei primi

� riduce l’uniformità necessaria per lacredibilità e reputazione delle certi-ficazioni.

Diventa allora essenziale esplicitare ledifferenti finalità delle due norme e lespecificità dei loro audit; cioè esplicita-re gli specifici obiettivi dell’organizza-zione per l’Audit di parte prima, con leconnesse esigenze di flessibilità, durata,

>>

� Una spinta alla crescita di efficaciae competenza

� Una valorizzazione del ruolo dei va-lutatori interni

� Un riferimento indispensabile pertutti gli auditor e una guida di ac-compagnamento quotidiano nellaloro attività

� Un cambiamento nei criteri di va-lutazione della competenza degli au-ditor.

IntroduzioneA differenza di quanto alcuni hanno fret-tolosamente sostenuto, l’uscita di questanorma innova significativamente i pre-cedenti riferimenti normativi relativi airequisiti del processo di audit in terminidi efficacia, di rischio, di programma diaudit, di riesame dei risultati, al fine diottenere un maggior valore aggiunto perl’organizzazione; e innova i requisiti dicompetenza degli auditor, componenteessenziale del valore aggiunto, oltre chei relativi campi di applicazione. Viene in-fatti introdotta una netta differenziazionetra le attività di parte prima (e seconda)e quelle di parte terza ora trattate nellanuova UNI EN ISO 17021:2011, Requi-siti per gli organismi che forniscono au-

UNI EN ISO 19011:2012 - Linee guida

per gli audit dei sistemi di gestione


e misura dell’efficacia; ed esplicitare me-glio le esigenze di uniformità, credibili-tà, verificabilità negli audit di parte terzaper la certificazione.Infatti per gli audit di parte prima risultanoprevalenti le esigenze specifiche delleaziende ai fini dell’efficacia dell’Audit edell’efficacia del Sistema di Gestione (ef-ficacia esplicitamente richiesta dalle nor-me), rispetto al solo ottenimento dei re-quisiti necessari per la certificazione; perl’Audit di parte terza diventa essenzialeil rispetto delle regole comuni a tutti gliOrganismi di certificazione che con-corre, insieme a tutti gli altri adempi-menti, alle verifiche per l’accreditamen-to dell’Organismo.Si persegue pertanto l’obbiettivo che:� la Iso 17021 sia autosufficiente nel-la gestione del processo di certifica-zione (che include il processo di Au-dit come sua parte) e che quindi ta-le norma non faccia più riferimentoalla ISO 19011;

� che la guida ISO 19011 sia princi-

palmente rivolta agli audit di parteprima e seconda.

Tra le prime implicazioni:la ISO 19011 accentua l’attenzione al-l’efficacia delle organizzazioni e all’ef-ficacia dei singoli Audit (la norma ha ora40 richiami all’efficacia rispetto ai 15precedenti, numero analogo ai richiamidella voce conformità, come nella ISO9001) mentre la conformità risulta net-tamente prevalente nella ISO 17021.c. La situazione 2012� Escono le nuove edizioni delle dueNorme che incorporano le esigenzesopra descritte, con le modalità chesaranno descritte nelle seguenti sche-de illustrative di ciascuna Norma.

� La ISO 19011, guida generale per gliAudit di parte prima e seconda, èemessa dal Comitato Tecnico 176(Quality Management and QualityAssurance + altri), è rivolta alle Or-ganizzazioni oltre che agli auditor ealla valutazione della loro compe-tenza e professionalità;

� La ISO 17021, è emessa da ISO- CA-SCO, è norma per l’accreditamentodegli organismi di certificazione, ri-guarda la certificazione di parte ter-za, e i requisiti di competenza (ri-chiesti per tutti gli addetti dell’Or-ganismo) costituiscono requisito ba-se per l’accreditamento dell’Organi-smo.

� La ISO 17021 prevede un periodo didue anni per l’adeguamento di tuttigli organismi alla nuova edizione; tutti gli Organismi do-vranno essere riaccreditati a frontedei nuovi requisiti.

� Avvio della preparazione di Nor-me/TS aggiuntive per definire la com-petenza specifica degli auditor inogni ‘area tecnica’, cioè per ogni Si-stema di Gestione.

Importanza e peculiaritàdella norma uni en iso 19011:2012 La norma ha accentuato la differenza di

� La sfida della competenza e dell’efficacia �5

tteemmaa

Norma NumeroEmessa da

CarattereTitolo

Scopo

Destinatari prevalenti

Aspetti essenziali

Pratica corrente

ISO 19011:2002ISO TC 176- Quality Management and QualityAssuranceGUIDALinee guida per gli audit dei sistemi di gestioneper la qualità e/o di gestione ambientale

La presente norma internazionale fornisce lineeguida sui principi dell’attività di audit, sullagestione dei programmi di audit, sulla conduzio-ne dell’audit del sistema di gestione per la quali-tà e del sistema di gestione ambientale comepure sulla competenza degli auditor di tali siste-mi di gestione.� Organizzazioni che applicano la Iso 9001 esimili norme per i Sistemi di Gestione

� Auditor� Formazione e certificazione degli AuditorÈ il riferimento base per tutti gli aspetti degliaudit

ISO 17021:2006ISO CASCO- Conformity AssessmentCommitteeNORMA prescrittivaValutazione della conformità— Requisiti pergli organismi che forniscono audit e certifica-zione di sistemi di gestioneLa presente norma internazionale contiene iprincipi ed i requisiti per la competenza, lacongruenza e l’imparzialità dell’audit e dellacertificazione dei sistemi di gestione di tutti itipi (per esempio sistemi di gestione per laqualità o sistemi di gestione ambientale) e pergli organismi che svolgono tali attività.� Organismi di Certificazione � Organismi di accreditamento� (Auditor)È il riferimento base per l’accreditamentodegli Organismi di certificazione. La normarimanda alla ISO 19011 per gli audit e per lacompetenza degli auditor

C’è poca differenza, di fatto, tra la conduzione degli audit di parte prima e quelli di parte terza,pur caratterizzati da scopi diversi, priorità diverse, modalità diverse. Spesso (troppo) gli audit inter-ni vengono effettuati (solo) per preparare la visita esterna. Il valore aggiunto, per l’organizzazione,si riduce drasticamente.

> Tabella 1 la situazione antecedente il 2011


obiettivi tra gli audit di parte 1 e di par-te 3. Anche se non costituisce più, come inprecedenza, il riferimento per la ISO17021 – ‘Requisiti per gli organismi cheforniscono audit e certificazione di si-stemi di gestione’, la norma conserva tut-to il suo valore di massimo riferimentoper:� gli aspetti comuni della professiona-lità degli auditor e il connesso rico-noscimento;

� il processo di audit, nei suoi aspetticomplessivi a partire dagli obiettivispecifici da raggiungere e in tuttal’articolazione delle sue fasi opera-tive;

� la gestione (e mantenimento e mi-glioramento) del processo della com-petenza degli auditor.

La norma continua ad essere il riferimentoper l’audit e come tale è richiamata, peres., nella ISO 9001 e nella ISO 17011per gli Organismi di accreditamento.

Gli aspetti specifici di competenza inogni diverso SG, cioè per ogni ‘area tec-nica’, invece, saranno successivamenteaggiunti, almeno per alcuni tipi di Siste-mi di Gestione.L’insieme dei cambiamenti qualificanoquesta norma come strumento indi-spensabile di tutti gli auditor e guida es-senziale di accompagnamento quotidia-no per la professionalità e la competen-za nella loro attività, ora maggiormenteorientata ad accrescere il valore e l’effi-cacia dell’audit, soprattutto di quello in-terno.Peculiarità della NormaQuesta seconda edizione della Guidaannulla e sostituisce la prima edizione2002.Le principali differenze:� è stato definito il campo di applica-zione prevalente (audit di Parte 1° e2°) e il rapporto con la ISO/IEC17021;

� è stato ampliato il campo di appli-

cazione all’audit ad ogni sistema digestione (il campo dei Sistemi di ge-stione si è molto dilatato); tolti quin-di tutti i riferimenti a Qualità e a Ge-stione Ambientale;

� La norma introduce il concetto di ri-schio associato all’attività di audit disistemi di gestione.

� è stata aggiunta la riservatezza co-me nuovo principio di audit;

� fortemente arricchito il Punto 5, pro-gramma di audit, con rinforzo degliobiettivi ed efficacia dell’audit e delSistema di Gestione;

� sono state incluse informazioni ag-giuntive in una nuova Appendice B,con la conseguente rimozione dei ri-quadri di aiuto pratico;

� sono stati rafforzati i processi di de-terminazione e di valutazione dellacompetenza;

� sono stati inclusi, in una nuova Ap-pendice A, esempi illustrativi di co-noscenze e abilità specifiche delle

� Il Mestiere del Valutatore �6

tteemmaa

� La sfida della competenza e dell’efficacia �


varie aree tecniche;� La norma è destinata all’impiego daparte di una vasta gamma di poten-ziali utilizzatori, compresi gli auditor,le organizzazioni che attuano siste-mi di gestione e le organizzazioniche hanno l’esigenza di condurre au-dit di sistemi di gestione per ragionicontrattuali o legali. Gli utilizzatoridella norma internazionale possonoapplicare questa guida nello svilup-po dei requisiti riguardanti i propriaudit.

� La guida fornita nella norma può es-sere utilizzata anche a fini di auto-dichiarazione, e può essere utile perle organizzazioni coinvolte nella for-mazione-addestramento degli audi-tor o nella certificazione delle per-sone.

� La guida fornita nella norma inter-nazionale è stata predisposta per es-sere flessibile. Come indicato in va-

ri punti del testo, l’utilizzo di questaguida può variare in funzione delledimensioni e del livello di maturitàdel sistema di gestione di un’orga-nizzazione e del tipo e complessitàdell’organizzazione da sottoporre adaudit, così come degli obiettivi e delcampo di applicazione degli auditda condurre

� La norma ha introdotto una miriadedi cambiamenti di varia importanza,rispetto all’edizione precedente: ingenerale la norma è diventata piùprecisa, più puntuale, più pulita. Sa-rebbe impossibile elencare in que-sta sede tutti i cambiamenti intro-dotti.

� È stata aggiunta una Appendice sup-plementare, B, destinata agli auditorper la pianificazione e la conduzio-ne degli audit. In tale appendice èstato introdotto e razionalizzato ilmetodo dell’audit ‘a distanza’ in mo-

do bilanciato con la modalità ‘incampo’.

Struttura della norma e principali innovazioniIL PROCESSO DI AUDITÈ stato meglio precisato e dettagliato sianei suoi aspetti operativi che nei suoiaspetti di sostanza. Il capitolo 5, gestio-ne di un programma di audit, occupa oraquasi 16 pagine rispetto alle 4 e mezzaprecedenti. Gli aspetti di definizione degli obiettivi, la coerenza con tali obietti-vi lungo tutto il processo e le verifichedel loro ottenimento ne risultano parti-colarmente rinforzati. Il processo di au-dit risulta, come è naturale, più ampiodi quello descritto nella Norma Iso17021, in quanto la ISO 19011 è unaguida, da utilizzare secondo le propriepriorità; per contro quello della ISO17021 è modulato dall’OdC in relazio-ne alle diverse fasi del processo di certi-ficazione.LA ESIGENZA DI EFFICACIALa esigenza di efficacia del Sistema digestione (fortemente richiesta dalla ISO9001 ) viene richiamata e accompagna-ta da esigenze di efficacia dell’audit; neriportiamo alcuni esempi:5.1 Generalità

un’organizzazione che ha l’esi-genza di condurre audit dovreb-be stabilire un programma di au-dit che contribuisca alla determi-nazione dell’efficacia del sistemadi gestione dell’organizzazioneoggetto dell’audit.

5.3.3 i fattori che influenzano l’effica-cia del sistema di gestione;

5.3.4 registrazioni dell’audit per dimo-strare l’efficacia del programmastesso;

5.3.5 il miglioramento dell’efficacia delprogramma di audit.

5.4.2 la valutazione dell’efficacia del si-stema di gestione nel soddisfaregli obiettivi specificati;

5.4.3 condurre efficacemente l’audit infunzione degli obiettivi

5.4.7 i riesami dell’efficacia del pro-gramma di audit;

5.5 livello dimostrato di efficacia del

7tteemm

aa

� La sfida della competenza e dell’efficacia �

la certificazione. I criteri di compe-tenza devono essere determinati conriferimento ai requisiti di ogni tipo nor-ma o specifica di sistema di gestione,per ogni area tecnica e per ogni fun-zione nel processo di certificazione,oltre che per area geografica, se ap-plicabile ( vedere ALLEGATO A);

b)per la valutazione della competenzainiziale e per il monitoraggio dellacompetenza nel tempo e della presta-zione di tutto il personale coinvoltonella gestione e prestazione degli au-dit e della certificazione, applicandodeterminati criteri di competenza.

� Non si deve più ragionare in termi-ni di requisiti minimi per la compe-tenza (ad es. 10 audit, 3 anni di espe-rienza, laurea, anche se tutto ciò puòrimanere) ma innanzitutto sulle co-noscenze richieste per lavorare inun’area tecnica definita, e quindi suimetodi utilizzati per verificare que-sta competenza.1

� Gli ODC devono predisporre un pia-no di transizione da rendere dispo-nibile ad Accredia prima della veri-fica di transizione, e comunque en-tro l’1 Febbraio 2012. Accredia ve-rificherà il rispetto del piano propo-sto in occasione della prima verificaispettiva presso la sede dell’OdC in-teressato;

� IAF ha emesso un documento infor-mativo (IAF ID 2:2011) dove vienedefinito un periodo di transizione di24 mesi dalla data di pubblicazione;pertanto, entro l’1 febbraio 2013 tut-ti gli Organismi Accreditati ISO/IEC17021:2006 dovranno adeguarsi al-la nuova norma al fine di evitareprovvedimenti sanzionatori.

� A partire dall’1 Febbraio 2012 Ac-credia emetterà nuovi accredita-menti solo a fronte della ISO/IEC17021:2011.

� Dall’1 febbraio 2013 tutti gli accre-ditamenti emessi a fronte dell’ISO17021:2006 verranno revocati.

� NOTE1 Emanuele Riva, UNI / ACCREDIA - Ottobre 2011,

Aspetti applicativi della UNI CEI EN ISO/IEC

ne dell’auditor7.4 Selezione del metodo appropriato

di valutazione dell’auditor7.5 Conduzione della valutazione del-

l’auditor 7.6 Mantenimento e miglioramento del-

la competenza dell’auditor

Le implicazioni operativeLe implicazioni operative sono numero-se e riguardano sia l’applicazione dellaGuida ISO 19011, sia quella della Nor-ma Iso 17021.� Cresce il ruolo e la responsabilità

dell’auditor interno: non sarà più il‘fratello minore’ dell’auditor di par-te terza, anzi dovrà saperne di piùperché dovrà avere competenza intutte le aree di cui potrà aver biso-gno l’organizzazione, e, in più, do-vrà conoscere cosa farà l’auditoresterno, per interfacciarlo adeguata-mente;

� Sarà necessario costruire dei data-base più precisi delle proprie areedi competenza, che accompagne-ranno e arricchiranno il proprio cur-riculum e daranno evidenza dei cri-teri seguiti per l’assegnazione a fron-te degli obiettivi; ma anche preve-dere dei percorsi/piani di crescitadelle competenze nelle tante aree etematiche indicate (per ora sinteti-camente) dalla Norma.

� Crescerà anche la competenza de-gli auditor di parte terza, perché GliODC devono riqualificare tutti i pro-pri auditor utilizzando i metodi sug-geriti nell’ALLEGATO B della Iso17021, e dovranno non solo appli-care in modo verificabile tali requi-siti, ma dovranno capire bene il con-testo in cui opera l’organizzazione.

� Gli auditor esterni dovranno più ap-profonditamente verificare l’effica-cia degli audit interni e l’efficacia delSistema di Gestione oltre che la suaconformità

� L’OdC dovrà avere un processo do-cumentato

a) per determinare i criteri di competen-za per il personale coinvolto nella ge-stione ed esecuzione dell’audit e del-

sistema di gestione;5.6 l’efficacia delle misure per affron-

tare i rischi associati al programmadi audit.

Competenza e valutazionedegli auditorLa sfida della competenzaQuesto capitolo ha introdotto significa-tivi cambiamenti rispetto all’edizioneprecedente, per tener conto innanzitut-to dell’estensione del campo e del nu-mero dei Sistemi di gestione (anche si-curezza e salute sul lavoro, agroalimen-tare, sicurezza informatica,…) che ri-chiede competenze specifiche che nonpotranno non essere riportate in docu-menti specifici.Ma le modifiche intendono soprattuttointerpretare le crescenti esigenze di com-petenza finalizzandole all’ottenimentodi una maggior efficacia specifica e mag-gior valore aggiunto per l’organizzazio-ne, e non solo ripetizione cautelativa del-le conformità necessarie per la certifica-zione esterna;La competenza dovrà essere molto piùpersonalizzata alle esigenze delle sin-gole organizzazioni, (non solo adempi-menti formali o numerici ), e più dina-mica (con rinforzo all’aggiornamentocontinuo ).‘La valutazione della competenza del-l’auditor dovrebbe essere pianificata, at-tuata e documentata in conformità al pro-gramma di audit, comprese le sue pro-cedure, per fornire un risultato che siaoggettivo, coerente, giusto e affidabile’.‘La fiducia nel processo di audit e nellacapacità di raggiungere gli obiettivi di-pende dalla competenza delle personeche sono coinvolte nella pianificazionee nella conduzione degli audit, compresigli auditor e i responsabili dei gruppi diaudit.Questi concetti sono sviluppati nel cap.7di cui è significativo l’indice:7.1 Generalità7.2 Determinazione della competenza

dell’auditor necessaria per soddisfa-re le esigenze del programma di au-dit

7.3 Definizione dei criteri di valutazio-

www.aicq.itluglio/agosto 2012

8tteemmaa

www.aicq.it

PPrreemmeessssaaFinalmente nel 2011 hanno prodottoun risultato concreto i lavori avviatidall’ISO/CASCO, che avevano, comescopo principale, quello di fare chiarez-za sull’accreditamento degli Organismidi Certificazione ed, in particolare, sul-le competenze richieste ed, in contem-poranea, ridefinire le Linee Guida per il“governo” dei processi di audit di primae seconda parte. [vedi fig. A]Dopo la pubblicazione della nuova re-visione della ISO 17021 sono state atti-vate su richiesta degli Enti di Accredita-mento da parte dagli Organismi di Cer-

tificazione azioni per l’adeguamentodei processi e per la formazione delpersonale coinvolto nella gestione di ta-li processi, allineati ai nuovi requisiti.Relativamente a come sono in corso disviluppo tali attività e a che punto sonogli Organismi di Certificazione si ri-manda alla parte specifica dell’articoloI relatori si prefiggono l’obiettivo di fareil punto sull’implementazione e diffu-sione delle due nuove norme (che orahanno scopi diversi e quindi modalitàdifferenti) nell’ottica di analizzare leconseguenze pratiche che queste nor-me stanno generando sia per le organiz-

zazioni che per gli Organismi di Certifi-cazione.

LLaa nnuuoovvaa eeddiizziioonnee ddeellllaa nnoorrmmaa IISSOO//IIEECC1177002211:: 22001111La norma ISO/IEC 17021 stabilisce i re-quisiti che un Organismo di Certifica-zione di Sistemi di Gestione deve segui-re affinché le certificazioni da lui rila-sciate siano affidabili, imparziali e dia-no valore aggiunto alle imprese. Giàdal 2006, anno di pubblicazione, furo-no evidenziati degli aspetti da migliora-re relativamente alla esecuzione degliaudit ed alla competenza delle “funzio-ni” dell’organismo coinvolte nelle atti-vità di certificazione. Specie su que-st’ultimo aspetto l’input alla revisionedella norma è arrivato anche dalle in-dustrie, che sono i clienti e gli utilizza-tori delle certificazioni e che hanno la-mentato una scarsa competenza speci-fica negli organismi di certificazione.[vedi fig. B]Specie nel mondo anglosassone è or-mai riconosciuto che la competenzanon si ottiene solamente attraverso unesame, un titolo di studio o ad unaiscrizione ad un albo professionale,(che ricordano il concetto di ”qualifi-ca”) ma si è affermato il concetto di:COMPETENZA = Sapere, saper fare esaper essereNella ISO/IEC 17021: 2011 si è cercato

� Il Mestiere del Valutatore � 9tteemm

aaGiorgio GalloVicepresidente del Comitato Normativa e Certificazione Sistemi Gestione Qualità, Auditor qualificatoAicq-SicevPieraldo MoriDirettore Qualità, Ambiente e Sicurezza Isoclima S.p.A., Auditor qualificato Aicq-SicevValerio Paoletti, RINA SERVICES S.p.A. Head of Certification and Accreditation Section

>>

Variazioni e modifiche a seguito dell’introduzione dellanorma /IEC 170121 – 2 2011 e la norma ISO 19011 2011

luglio/agosto 2012

> Figura A

Che cosa cambianella conduzione degli audit?

di porre rimedio, introducendo nuovirequisiti legati alla competenza, che gliOrganismi di Certificazione devono ri-spettare.Un primo aspetto è la richiesta di unprocesso documentato per determinarela competenza necessaria per “il perso-nale” coinvolto nelle attività di certifica-zione. Ciò implica che un organismo dicertificazione, una volta stabilite qualisiano le attività necessarie per rilasciareun certificato, per ognuna di questedebba stabilire a priori quali competen-ze sono necessarie per la loro effettua-zione, per ogni funzione coinvolta nelleattività di certificazione e per ogni“area tecnica”. È da notare come la nor-ma non da prescrizioni sul tipo e livellodi competenze necessarie per ogni figu-ra coinvolta nelle attività di certificazio-ne, che sono lasciate di completa re-sponsabilità dell’Organismo di Certifi-cazione, ma dà solo delle indicazionisui criteri da seguire per stabilire questecompetenze. L’output di questo proces-so saranno dunque i requisiti di compe-tenza, stabiliti dall’Organismo di Certifi-cazione.L’allegato “A” della norma, l’unico che,obbligatorio, contiene i criteri per stabi-lire le competenze importanti degli at-tori coinvolti nella attività di certifica-zione, quali quelli di chi esegue il riesa-me del contratto, chi stabilisce la com-

posizione del team di audit e i tempi diaudit, chi prende la decisione di certifi-cazione e per chi effettua l’audit, chesono le attività giudicate tra le più im-portanti per arrivare a rilasciare unacertificazione che dia “fiducia”.Un accenno particolare sulle compe-tenze degli auditor.Il Comitato ISO/CASCO, ben consciodell’importanza della competenza degliauditor, che indubbiamente sono tra lefigure più importanti di un processo dicertificazione di un sistema di gestione,sta definendo i requisiti addizionali pergli auditor che operano nei vari schemidi certificazione, come ad esempio i si-stemi di gestione ambientali, o i sistemidi gestione per la qualità. Un altroaspetto nuovo è l’introduzione della de-finizione di “Area tecnica”, che se daun primo momento ha creato qualcheperplessità, in realtà non fa altro cheevidenziare che gli attori del processodi certificazione devono avere ancheuna competenza del prodotto, dei pro-cessi adottati e del mercato (il contesto)in cui operano le aziende che richiedo-no la certificazione. Anche se ciò, specie in Italia, era “difatto” già considerato dagli Organismidi Certificazione, che ad esempio quali-ficavano gli auditor ad operare in deter-minati settori merceologici o settori le-gati agli aspetti ambientali delle azien-

de, la norma ha voluto insistere sulconcetto di competenza proprio perevitare che le attività di certificazionepossano essere slegate dalle realtàaziendali con il pericolo che un audi-tor, si focalizzasse solo sugli aspetti le-gati alla gestione del sistema e pocosulla efficacia del Sistema di Gestionein relazione al “mondo” in cui l’azien-da opera e vive.Per quanto riguarda l’esecuzione del-l’audit, la norma ha in larga parte rece-pito i requisiti della ISO 19011, che es-sendo classificata come una Guida, an-che se richiamata in molti punti dallaISO /IEC 17021, non veniva, da alcuni,riconosciuta come “prescrizione”, puradattandoli specificatamente allo spiri-to di un audit indipendente di “terzaparte”.La norma adesso prescrive quali devo-no essere gli obiettivi di un audit, qualielementi devono essere considerati nel-la preparazione di un piano di audit enello stabilire la composizione di ungruppo di audit, quali informazioni de-vono essere date durante le riunioni diapertura e di chiusura dell’audit, qualidevono essere riportate sul rapporto diaudit. Per molti Organismi di Certifica-zione di Sistemi di Gestione le nuoveprescrizioni introdotte dalla ISO/IEC17021: 2011 non hanno ancora provo-cato dei grandi cambiamenti (ma entroun anno dovranno essere riaccreditate).Gli organismi avevano già capito l’im-portanza della “competenza” quale fat-tore fondamentale per garantire nonsolo una certificazione affidabile, maanche per poter dare valore aggiuntoall’azienda che valutata, individuandocorrettamente i punti di forza o di de-bolezza, cosa che talvolta è molto piùapprezzata dall’imprenditore che nonla certificazione di per sè.Le modalità di effettuazione di un auditpermettono sempre di più di armoniz-zare l’operato degli Organismi di Certi-ficazione, insistendo particolarmentesugli aspetti fondamentali necessariall’effettuazione di un audit che mettain risalto non solo la conformità del Si-stema alla norma, ma anche l’efficacia


� Il Mestiere del Valutatore �10tteemmaa

> Figura B


del sistema per la crescita ed il succes-so aziendale, che dovrebbe essere l’o-biettivo per il quale sono adottati i siste-mi di gestione. Quali sono le novità introdotte dallaISO/IEC 17021: 2011 che hanno porta-to gli organismi di certificazione a veri-ficare le loro procedure ed in alcuni ca-si a modificarle?.Uno di questi riguarda la conduzionedegli audit. Infatti anche se la norma ri-chiamava la ISO 19011, ed alcuni Or-ganismi di Accreditamento prescriveva-no l’obbligatorietà di seguire tale normanella conduzione degli audit , questa ri-maneva sempre una “guida” e, anchein questo caso, specie nel mondo an-glosassone, alcuni organismi non la se-guivano totalmente, altri poco ed altriper niente.La modifica della ISO/IEC 17021 si è li-mitata in questo caso, a prendere alcunirequisiti della ISO 19011 e “importarli”nella nuova revisione trasformandolicosì in “prescrizioni”; La ISO/IEC17021 diventa così “autoportante” perquanto riguarda l’effettuazione degliaudit, e, sebbene ormai le tecniche diconduzione degli audit sono consolida-te e pressoché simili per tutti gli Organi-smi di Certificazione, ciò ha portato adun riesame delle prassi e procedure uti-lizzate.Alcune di queste nuove prescrizioni in-teressano anche il cliente e, pertanto,devono essere comunicate in anticipoall’audit per chiarire come questo auditsarà effettuato; ad esempio:a. quali sono gli obiettivi dell’audit chevanno al di là della semplice confor-mità alla norma di (A riguardo si citauna prescrizione particolare dell’Or-ganismo di accreditamento statuni-tense, (ANAB) che prescrive che gliOrganismi di Certificazione enfatizzi-no al cliente come con l’adozione diun sistema di gestione ci si aspettache l’azienda eccella sulle altre);

b. l’audit sarà effettuato a fronte delleprescrizioni della norma di sistema diriferimento, ma anche a fronte delladocumentazione del sistema di gestio-ne predisposta dall’organizzazione.

c. le responsabilità e i ruoli di “Guide”e ”Osservatori”;

(Circa il punto a. si è infatti verificatoche alcune organizzazioni rifiutavano lenon conformità alle loro procedure, inquanto sostenevano che l’OdC dovevalimitarsi a verificare la conformità alleprescrizioni della norma di riferimento).La cosa più semplice può essere riporta-re queste indicazioni sul Regolamentodell’Organismo di Certificazione, inmodo che il cliente ne sia preventiva-mente informato.La norma indica ora, tra gli aspetti daconsiderare nello stabilire la durata de-gli audit, anche i rischi associati a pro-dotti, processi o attività dell’organizza-zione e quando gli audit sono combi-nati, congiunti o integrati e ciò deve es-sere considerato durante il riesame delcontratto.Inoltre, contiene anche prescrizioni suicriteri che devono essere consideratinella determinazione del gruppo di au-dit, dando molta responsabilità al Re-sponsabile del Gruppo di audit per lapreparazione, la conduzione e il rap-porto conclusivo dell’audit.Una novità è l’obbligo di registrare ipartecipanti alla riunione iniziale ed al-la riunione finale, che possono non co-incidere. Se non già previsto, ciò rap-presenta una novità per l’organismo dicertificazione. Inoltre, sono indicati glielementi che devono essere discussidurante le riunioni. Ciò comporta chesiano date chiare istruzioni agli auditorsu come condurre tali riunioni. La reintroduzione del concetto di NonConformità “maggiore” o “minore” neha sì chiarito le modalità di gestione,ma ha obbligato alcuni organismi a mo-dificare la terminologia utilizzata. Unconcetto importante è quello che ilteam di valutazione deve assicurare chela “Non Conformità”, anche se noncondivisa con l’organizzazione sottopo-sta ad audit, sia comunque compresa.È, infatti, essenziale che il cliente com-prenda bene cosa gli viene contestato eciò dipende dal modo in cui la NonConformità viene scritta e come vienespiegata in sede di riunione finale. La

professionalità dell’auditor gioca inquesto un ruolo molto importante.L’introduzione del contenuto di un rap-porto di audit ha comunque obbligatogli organismi di certificazione a verifi-care il proprio modo di rapportare l’au-dit.

LLaa nnuuoovvaa eeddiizziioonnee ddeellllaa nnoorrmmaa UUNNII EENN IISSOO1199001111::22001122..È ovvio notare che le modifiche dellanorma UNI EN ISO 19011:2011 sonosostanziali nella forma e nella sostanzain quanto è profondamente modificatolo scopo ed il campo di applicazione:… (omissis) … questa edizione dellanorma internazionale fornisce una gui-da per gli utilizzatori, comprese le pic-cole e medie organizzazioni, e si con-centra in quelli che sono comunementedefiniti “audit interni” (di prima parte) e“audit condotti dai clienti sui loro forni-tori” (di seconda parte) …(omissis)…Nella pratica operativa, non avendo ov-viamente stravolto la norma, ma aven-do apportato molti cambiamenti di va-ria importanza (in generale la norma èdiventata più precisa, più puntuale, piùpulita), è raccomandabile che le modi-fiche apportate allo standard influenzi-no le modalità di effettuare gli audit. Si-curamente il documento deve influen-zare i metodi di formazione degli audi-tor, adeguando le presentazioni ai re-quisiti rivisti e rieditati.La norma presenta due allegati che pos-sono essere di grande aiuto a chi con-duce gli audit:� Allegato A - mostra con esempi lediscipline specifiche che dovrebbe-ro costituire la base delle cono-scenze e delle competenze degliauditor;

� Allegato B - offre ulteriori indica-zioni agli auditor per pianificare econdurre gli audit.

Una significativa novità, introdotta dallaUNI EN ISO 19011:2012, si evidenzianel concetto di rischio nella gestionedegli audit di sistema. Vengono evidenziate tre tipologie di ri-schi:

� Che cosa cambia nella conduzione degli audit? �11

tteemmaa


� il rischio che il processo di auditnon raggiunga i suoi obiettivi

� il rischio che la valutazione possainterferire con le attività della per-sona oggetto dell’audit

� il rischio che le informazioni relati-ve alla gestione dell’audit venganocomunicate in modo inefficace.

Rispetto alla prima edizione dello stan-dard 19011, pubblicata nel 2003, e chesi applicava solo alla ISO 9001 (Quali-tà) e alla ISO 14001 (Ambiente), la nuo-va ISO 19011:2012 è stata ampliata inmodo da applicarsi alla valutazionedelle norme di gestione di qualsiasi Si-stema di Gestione. Particolare attenzione è stata posta af-finché l’audit sia un vero e proprio stru-mento fondamentale per il Top mana-gement per il raggiungimento degliobiettivi dell’organizzazione.

QQuuaallii ccoonnsseegguueennzzee nneell ccoonntteessttoo ooppeerraattiivvoo??La norma 19011:2003 è stata oggetto distudio e di meditazione per molte per-sone, compreso il sottoscritto: è statauna sorta di “coperta di Linus” per chicome me si era occupato di altre cosedurante gli ultimi trent’anni, appassio-nandosi al mondo dei sistemi di gestio-ne nell’ultimo lustro. Cosa sta succe-dendo? Ci è venuto a mancare un sostanzialepunto fermo o le modifiche introdottepossono apparire solamente formali?Quali conseguenze dal punto di vistastrettamente operativo apporteranno lemodifiche poste in essere nell’ultimarevisione? Cosa cambia, per l’uomo diazienda ?Inquadriamo, come prima cosa, il con-testo di cui questa nuova norma si oc-cupa, ovvero quello degli Audit di pri-ma e seconda parte. Gli Audit di primae seconda parte potrebbero essere con-siderati, non a ragione veduta, comeprocessi di secondaria importanza o ci-tando un noto film, “Figli di un Dio mi-nore”. Essi sono invece importantissimi,e … NON … possono essere messi insecondo piano, perché indispensabiliper mantenere il Sistema Azienda – Or-

ganizzazione in buona salute. Prenden-do spunto dalle definizioni, sofferman-doci in particolare su quella di Auditore di Competenza, è possibile sviluppareun certo tipo di ragionamento.3.8 Auditor persona che conduce un

Audit” (2012) 3.8 Auditor: Persona che ha la compe-

tenza per effettuare un audit(2003)

Dopo la prima lettura, un mio collegadi lavoro è sobbalzato dalla sedia rea-gendo in questo modo: “È sorprendente come il termine com-petenza sia sparito, quindi tutti possonosvolgere attività di Audit indipendente-mente dal grado di cultura, esperienza,e maturità personali possedute”.É il contrario: per quanto riguarda lacompetenza degli Auditor, anche limi-tandone il campo di applicazione alleattività interne all’azienda, si deve esse-re prudenti ed attenti. Non è pensabile(… e tanto meno opportuno …!!!) chechiunque possa trasformarsi in “ascolta-tore di professione”. Tra l’altro, il tema delle competenze favenire alla mente quello molto di mo-da, cioè il rapporto tra formazione e ad-destramento. Sicuramente penso di do-ver sponsorizzare, per quanto riguardala mia esperienza professionale, il temadell’addestramento sul campo e dellapratica operativa applicata ai vari sche-mi di norma. Ritengo che l’efficaciadell’Audit dipenda in stretta misura dal-le caratteristiche personali e umane del-l’Auditor e dalla sua conoscenza pro-fonda dei processi aziendali sottopostiad Audit. Ma cosa significa addestramento inquesto caso? Significa, non solamente raggiungere leabilità necessarie per ottenere risultatidesiderati. Significa, operando in unarealtà molto complessa, sviluppare delleconoscenze - competenze attraverso laformazione per singolo schema, accom-pagnando contemporaneamente questoprocesso con l’affiancamento ad un tu-tor esperto, direttamente sul campo. L’esperienza di parecchi anni mi sugge-risce che saper conquistare la fiducia

degli “auditati” ed il consenso degli al-tri, in qualunque situazione, passa attra-verso un elevato grado di formazione,ma anche attraverso un assai elevatogrado di competenza. Di fronte ai processi aziendali da “veri-ficare”, l’Auditor … NON DOVREBBEPASSARE … per colui che agisce perconto della Direzione, quindi per un“ispettore”. L’ascoltatore di professio-ne”, invece, dovrebbe essere colui che,guadagnatosi l’approvazione sul cam-po, convince, o meglio, collabora con icolleghi per risolvere i problemi quoti-diani nell’organizzazione.Sulla competenza si è già detto qualco-sa, ma utilizzerei anche qui il confrontotra definizioni per svolgere qualche ra-gionamento. 3.17 Competenza: capacità di applica-

re conoscenze e abilità per otte-nere i risultati desiderati (2012)

3.14 Competenza: Dimostrate caratte-ristiche personali e dimostrata ca-pacità di saper utilizzare cono-scenze ed abilità. (2003)

Il mestiere di saper conquistare il con-senso - fiducia degli altri in qualunquesituazione, guadagnarne l’approvazio-ne, convincerli ad agire in un certomodo può essere una dote innata: perimparare a padroneggiare tali doti èperò necessario un adeguato l’adde-stramento. Empatia e sincerità, oppure capacità diascolto e di attenzione, linguaggio nonverbale o importanza della memoria: ilpotere del linguaggio verbale e non, gliaspetti psicologici del colloquio, o l’i-nevitabile distacco nella fase di iniziodel colloquio, l’inevitabile gestione del-le persone difficili e i loro comporta-menti, infine la comprensione dei vari itipi psicologici. Ciascuno di questiaspetti, insieme all’esperienza e alla co-noscenza dei processi così sintetica-mente elencati, appartengono al baga-glio di competenze dell’Auditor.Resta da parlare di un concetto intro-dotto dalla presente norma, ovvero il 3.16 Rischio: effetto dell’incertezza su-gli obiettiviUna spiegazione più chiara di ciò che i



normatori volevano definire si trovanell’Introduzione, in cui si dice“… (omissis) … L’approccio adottato ri-guarda sia il rischio che il processo diAudit non raggiunga i propri obiettivi,sia l’eventualità che l’Audit interferiscacon le attività e i processi dell’organiz-zazione oggetto dell’Audit … (omis-sis)…”.Relativamente a ciò, si possono intro-durre molti temi, ad esempio: il temadella corretta pianificazione con unaadeguata e pertinente definizione degliobiettivi; l’utilizzo corretto delle risorsein campo, in termini di tempo disponi-bile da parte dell’Auditor, ma anchequello legato alla disponibilità dell’au-ditato; la corretta selezione del gruppodi Audit, di cui si è parlato in preceden-za. È doveroso aggiungere il piano diAudit, legato alla disponibilità di effica-ci check list suddivise per schema o, aseconda del tipo di organizzazione, in-tegrate tra i diversi schemi.Nelle nostre Organizzazioni, in cui ilprincipale requisito è l’utilizzo ottimaledelle proprie risorse, potremmo incorre-re in situazioni in cui l’elevato rischiodell’inefficacia del processo di Audit In-terno diventi una realtà. L’efficacia el’efficienza che le Aziende tentano diraggiungere attraverso lo sviluppo deiSistemi di Gestione potrebbe essere rag-giunta solo parzialmente, a causa dei ri-schi insiti nel processo di Audit. Proba-

bilmente il tema del Rischio può susci-tare grande interesse, grazie al suo fa-scino, tanto da renderlo argomento diun articolo. La più specifica novità introdotta risiedenel punto 3.16, legato alla definizionedi Rischio.Gli organismi di Terza Parte (i Certifica-tori di mestiere) hanno finalmente unsolido punto di riferimento con l’intro-duzione della nuova ISO/IEC17021:2011; le Organizzazioni e leAziende che volontariamente si avvici-nano ai Sistemi di Gestione, dei tipi piùdisparati, possono fare riferimento aduna linea guida, la ISO 19011:2012. Ri-mane impresso nell’inconscio collettivol’immagine “romantica” del nostro eroecioè l’Auditor, ipotizzando che a frontedei requisiti punto 7.2.2 “Comporta-mento personale”, considerando lanuova definizione di auditor (3.8 “per-sona che conduce un Audit”), pensiamosi possa concludere che l’auditor è di-ventata una persona normale, ma condoti eccezionali.Avviandoci alla conclusione di questobreve intervento, potrebbe essere inte-ressante rispondere al quesito postonella parte iniziale cioè:

CCoossaa ccaammbbiiaa,, ppeerr ll’’uuoommoo ddii aazziieennddaa??Un antico adagio ci solleverebbe datanti pensieri e proporci una rapida e

indolore risposta: abbiamo cambiatoquasi tutto per non cambiare assoluta-mente nulla!!!No, si è fatta chiarezza, si sono precisa-ti alcuni aspetti che erano troppo limi-tatamente definiti, ci obbliga a precisa-re meglio cosa si deve ottenere e consi-derare i rischi di non ottenerlo: non re-sta che finalmente applicarli.

BBiibblliiooggrraaffiiaa� AICQ-SICEV Giornata di aggiornamen-

to auditor del 11 Febbraio 2009 “Signi-

ficato e contenuti della nuova Norma

ISO/IEC 17021: Valutazione della Con-

formità ai Requisiti per gli Organismi di

Certificazione” – relatore: ing. Alberto

Pederneschi, Vicepresidente Commis-

sione UNI CEI Valutazione conformità –

Membro ISO CASCO WG 21;

� UNI CEI EN ISO/IEC 17021:2011 –

“Valutazione della conformità: Requisi-

ti per gli organismi che forniscono au-

dit e certificazione di sistemi di gestio-

ne”

� Seminario ACCREDIA del 24/10/2011:

UNI CEI EN ISO/IEC 17021:2011: In-

quadramento e principali novità – rela-

tore. Ing. Marco Cibien

� Rivista Qualità N°2/2012 – “La revisio-

ne della norma ISO 17021” – relatore:

dr. Giovanni Mattana, Direttore della ri-

vista

� UNI EN ISO 19011:2012 - “Linee Gui-

da per audit di sistemi gestione”

� Che cosa cambia nella conduzione degli audit? �13

tteemmaa

gli obiettivi di business delle imprese edell’intera supply chain. Se si vuole fron-teggiare il rischio con efficacia è neces-sario valutare e trattare i rischi associatialla gestione della catena di fornitura at-traverso processi standardizzati e diffusiche consentano di governare i potenzialiimpatti dei fattori di rischio che influen-zano il network.

BibliografiaCranfield School of Management, Creat-ing Resilient Supply Chains: A practicalguide. Report on behalf of the Depart-

ment for Transport, 2003S. M. Wagner, C. Bode, An empirical in-vestigation into supply chain vulnerabili-ty, Journal of Purchasing & Supply Man-agement, 2006F. Costantino, G. di Gravio, M. Tronci,Supply chain management e network lo-gistici, Hoepli, 2007C. Christopher, H. Peck, Building the re-silient supply chain, International Journalof Logistics Management, No. 2, 2004S. M. Wagner, N. Neshat, Assessing thevulnerability of supply chains usinggraph theory, International Journal ofProduction Research, Vol. 2, No. 6, 2010

U. Jüttner, H. Peck, M. Christopher, Sup-ply chain risk management: Outlining anagenda for future research, InternationalJournal of Logistics, Vol. 6, No. 4, 2003ISO 31000: 2009, “Risk management -Principles and Guidelines on Implemen-tation” European Foundation for Quality Man-agement: Framework for risk manage-ment, EFQM, 2005.

� NOTE1 Livello di esposizione considerato tollerabile per

l’organizzazione e giustificabile in termini di costi.

2 Evento che ha come conseguenza danni o perdite.

continua da pagina 52

www.aicq.it

14tteemmaa

Il modo di fare Qualità, negli ultimi10-15 anni, ha subito un’importanteevoluzione passando dal semplice

controllo qualità (esame e scarto dei par-ticolari difettosi) all’assicurazione qualità(controllo del processo e prevenzionedelle difettosità), fino ai nostri giorni, do-ve la Qualità è diventata parte del lavorodi ciascun dipendente (formazione eeducazione). La priorità della Funzione Qualità, nellamaggior parte delle organizzazioni, è di-ventata quella di riuscire a mantenersi ag-giornati nella “giungla” degli ultimi cam-biamenti. Le spinte dei mercati internazio-nali e dei maggiori committenti hannodefinito precisi linguaggi e modi di lavororiguardo agli aspetti della qualità.L’adozione di un sistema qualità può es-sere quindi la discriminante che permettadi avere una “carta in più” rispetto allaconcorrenza nel procacciarsi nuovi clien-ti e di conseguenza quote di mercato.La globalizzazione dei mercati e l’impul-so verso un miglioramento continuativodelle performance qualitative rivolte allasoddisfazione del cliente, hanno deter-minato significativi processi evolutivi deisistemi qualità dell’intera filiera della for-nitura del settore. Nel contesto competi-tivo è diventato sempre più importante ilproblema della Gestione del SistemaQualità delle aziende. Ad esso è infattiassegnato il compito di soddisfare le esi-genze dei costruttori e delle autorità e, in

ultima analisi, quelle dell’utente finale,attraverso una sempre maggiore respon-sabilizzazione dei fornitori. In particola-re, è molto sentita l’esigenza di unificarei metodi di valutazione così come è mol-to sentita la necessità di utilizzare l’attivi-tà di valutazione e certificazione perpromuovere lo sviluppo competitivo del-le aziende. Attraverso lo sviluppo di progetti di unifi-cazione portati avanti dai costruttori fa-centi parte dell’International AerospaceQuality Group (IAQG) sono state realiz-zati gli strumenti operativi per la valuta-zione dei Sistemi di Gestione per laQualità:� UNI EN 9100 Sistemi di gestione

per la qualità - Requisiti per le orga-nizzazioni dell’aeronautica, dellospazio e della difesa

� UNI EN 9110 Sistemi di gestioneper la qualità - Requisiti per le orga-nizzazioni di manutenzione dell’ae-ronautica

� UNI EN 9120 Sistemi di gestioneper la qualità - Requisiti per i distri-butori nell’aeronautica, nello spazioe nella difesa.

La caratteristica fondamentale di questidocumenti è quella di basarsi sulle pre-scrizioni ISO 9001: 2008 universalmentericonosciute, integrandoli con i requisitispecifici cliente e delle autorità orientatia comprendere quelle attività aziendaliche ampliano il Sistema Qualità verso

Antonino CiancioPlexus Management Systems

EEffffiiccaacciiaa ddeeii pprroocceessssiiee nnuuoovvii ssttrruummeennttii aapppplliiccaattiivvii

un Sistema aziendale di gestione per lacompetitività.I benefici della pubblicazione di questidocumenti comuni riguardano: migliora-mento dei prodotti e dei processi produt-tivi; acquisizione di maggior confidenzanel mercato globalizzato dell’outsour-cing dei costruttori; assegnazione dimaggiori risorse per il miglioramentocontinuo della qualità; approccio comu-ne al sistema qualità per tutta la filieradella fornitura; minore dispersione nelgiudicare le capacità del fornitore e mi-glioramento della sua efficienza; svilup-po dei Subfornitori; acquisizione di unlinguaggio comune per interpretare e ap-plicare le prescrizione del sistema quali-tà; enfasi sull’approccio per processi an-ziché sulla documentazione.Per contro, i benefici che i costruttori siaspettano dal processo di certificazionepossono essere così individuati: consi-stenza (efficacia dei risultati degli audit),integrità (competenza e indipendenza),stabilità (stessa azienda, stesso team divalutazione, in tempi differenti), ripetibi-lità (stessa azienda, differenti team di va-lutazione), riproducibilità (aziende diffe-renti, paesi differenti, differenti team divalutazione). L’IAQG, al fine di garantire quanto so-pra, ha sviluppato anche una serie di re-quisiti presente sulla AS 9101 QualityMangement Systems - Audit require-ments for Aviation, Space and Defense

>>

luglio/agosto 2012


Il nuovo quadro normativo nel settore aeronautica, spazio e difesa: la gestione per processi

www.aicq.it

Organizations.(Norma in traduzione)Questo documento standardizza i requi-siti per la conduzione degli audit del Si-stema di Gestione per la Qualità e la re-portistica. Fornisce pertanto i requisitiper il processo di audit e la reportisticache devono prevedere:� Approccio per processi e migliora-mento continuo come definito dallenorme della serie 9100

� Requisiti aggiuntivi per Aeronautica,Spazio e Difesa definiti nelle normedella serie 9100

� Utilizzo di strumenti di audit comu-ni e,

� Reportistica per i risultati degli audituniforme, trasparente e standardiz-zato

Le principali modifiche introdotte posso-no essere riepilogate � Assicurare l’allineamento con le

strategie IAQG (On Time Delivery –On Quality Performance, migliorecontrollo di da parte dell’“OtherParty” del processo di certificazione)

� Incorporare le modifiche della serie9100:2009 e allineamento con laISO/IEC 17021

� Supportare l’approccio per processidei SGQ descritto nelle norme dellaserie 9100

� Definire i requisiti di tutte le attivitàpreviste dai programmi di audit

� Fornire adeguati Rapporti di Auditagli stakeholders sulle prestazionidei processi delle Organizzazioni

Si potrà quindi notare che il cuore su cuisi basano i requisiti della norma sono:1.Ottica “Cliente” (Orientamento alcliente attraverso la valutazione dellasoddisfazione del cliente sulla base diinformazioni sulle prestazioni e feed-back cliente, devono essere verificatianche requisiti SGQ del cliente; focussui processi che impattano direttamen-te sui clienti; l’importanza del Clientedeve essere preso in considerazionenella pianificazione dell’audit; l’infor-mazione e il riesame della soddisfa-zione del cliente e lo stato dei reclamie la loro gestione)

2.Approccio basato sui Processi (audit ecertificazione visti come un processo)

3.Orientamento sulle prestazioni delleOrganizzazioni (ad es. l’Identifica diprocesso, l’output e il miglioramentoattraverso la misurazione e il monito-raggio delle prestazioni quali i KPI sul-la qualità prodotto e tempi di conse-gna (OTD), la definizione di obiettividelle prestazioni, il soddisfacimentodelle aspettative dei clienti e la misu-razione del miglioramento

4.Metodi di Audit: enfasi/approccio alCliente, valutandone aspettative, pre-stazioni, soddisfazione, reclami efeedback, verificando la Leadership or-ganizzativa (verifica dell’impegno deltop management e ruolo nella defini-zione del SGQ, nelle politiche, negliobiettivi, obiettivi di prestazione/misu-ra, attuazione e miglioramento conti-nuo), le prestazioni e l’efficacia delQMS e la Gestione dei processi (inte-razioni/sequenza (interfacce), controllidi processo

5.Efficacia dei Sistemi di Gestione per laQualità in aggiunta alla conformità:valutazione dell’efficacia del sistemadi Gestione per la qualità e dei pro-cessi ad esso correlati (soddisfano leaspettative del cliente, realizzano econsentono la consegna di prodotti diqualità nei tempi previsti, miglioranocontinuamente)

6.Miglioramento dei Rapporti di Audit:utilizzo di metodi standardizzati per lacomunicazione dei risultati degli audital fine di avere variazione ridotta, in-terpretazione dei risultati di audit piùcoerenti, più facili da leggere/capireper tutti gli stakeholders, compresi iclienti e gli Assessor, sorveglianza deifornitori più efficace ed efficiente e perfornire un miglioramento focalizzatoper l’organizzazione certificata; indi-rizzare tutte le fasi del processo di au-dit: Stage 1 e 2, Sorveglianza, ricertifi-cazione e audit speciali

Se tutto questo viene ben compreso, ri-sulta evidente il contributo in termini disviluppo che, al di là di una certificazio-ne indipendente, viene offerto alleaziende interessate. E’ inoltre da consi-derare che lo schema di certificazioneICOP prevede l’utilizzo, da parte degliOrganismi di certificazione, di valutatoricon specifica esperienza nel settore enelle tecnologie coinvolti e con attitudi-ne alla valutazione in ottica di promo-zione del miglioramento, e di orienta-mento al raggiungimento degli obiettividi prodotto in termini di qualità delleprestazioni, tempi di risposta, costi e ri-duzione degli sprechi. Il modello su cui strutturare il processodi audit secondo la 9101 è il seguente

� Efficacia dei processi e nuovi strumenti applicativi �

luglio/agosto 2012

15tteemm

aa

> Fig. 1 - Modello di sviluppo dell’audit basato sui processi - 9101


(vedi fig. 1) Cosa vuol dire per gli auditors?� Un Auditor si sentirà più a proprioagio nel condurre il team con unametodologia che metta a fuoco i se-guenti punti della 9101

� Orientamento al cliente (9101, pun-to 4.1.2.1)

� Leadership organizzativa (9101 pun-to 4.1.2.2)

� Performance ed efficacia del Sistemadi Gestione per la Qualità (9101punto 4.1.2.3)

� Gestione dei processi (punto4.1.2.4)

� Performance ed efficacia di processo(punto 4.1.2.5)

� Miglioramento Continuo (punto4.1.2.6)

L’auditor per poter applicare questa me-todologia di audit deve quindi� Conoscere e seguire i Requisiti / Ri-spettare le regole

� Disciplina amministrativa� Conoscenze/CompetenzeChe cosa significa per l’Organizzazio-ne?Le revisioni contenute della UNI EN9100 includono l’adozione dell’approc-cio per processi della ISO 9001:2008 ele informazioni raccolte a seguito del-l’applicazione delle precedenti edizioni.L’approccio per processiPer fare fronte a questa nuova esigenzale Aziende devono definire e gestire ade-guatamente i processi necessari ad assi-curare che i prodotti e i servizi forniti sia-no conformi alle esigenze dei clienti eagli altri requisiti applicabili.Come mezzo per implementare effica-cemente tali processi e dimostrare la lo-ro adeguatezza, essi devono stabilire,documentare, porre in atto, manteneree migliorare continuamente, in terminidi efficacia, un Sistema di Gestione perla Qualità conforme ai requisiti dellaNorma. A tale fine, le aziende devono:� identificare i processi rilevanti per lagestione per la qualità e la loro ap-plicazione;

� determinare le relative sequenze edinterazioni; determinare i criteri e

metodi per assicurare l’efficace fun-zionamento e controllo di detti pro-cessi; assicurare la disponibilità dellerisorse e delle informazioni richiesteper supportare la gestione ed il mo-nitoraggio degli stessi; condurre mi-surazioni, monitoraggi ed analisi; at-tuare le azioni necessarie per conse-guire gli obiettivi prefissati ed il mi-glioramento continuo dei processi.

La lettura per processi comporta un’ana-lisi e una progettazione dell’organizza-zione aziendale, che non si incentri suiconcetti classici di attività, compiti e fun-zioni, gerarchicamente legati, ma che sibasi su un insieme di attività omogeneedal punto di vista dell’output e correlatetra loro al di là dei confini funzionali.L’approccio per processi richiesto dallaUNI EN 9100 richiede l’identificazione ela gestione delle interazioni che intercor-rono fra i processi aziendali, consenten-do di mantenere il controllo sui legamiall’interno di un singolo processo e fraprocessi diversi.Questo approccio, applicato nel Sistemadi Gestione per la Qualità, permette di:identificare, comprendere ed osservare irequisiti di ogni processo; valutare ognisingolo processo in termini di valore ag-giunto; conseguire i risultati in termini diprestazioni e di efficacia del processo;migliorare continuamente e progressiva-mente l’efficacia dei processi basandosisu misurazioni oggettive.ll processo è il sottosistema elementare,componente di un più ampio sottosiste-ma costituito dal flusso di processi, colle-gati ai prodotti e/o servizi che l’aziendaproduce per il mercato; se questi flussivengono, a loro volta, collegati a sistemacon tutti gli altri, quali quelli amministra-tivi, informativi e relativi al personalecioè riconducibili alle attività di suppor-to, si può pensare al sistema dei flussi diprocessi come ad un modello utile perrappresentare la realtà aziendale.Il processo è, pertanto, un insieme di at-tività strutturate e misurate, progettatoper produrre uno specifico output per ilmercato o un cliente. Ciò implica unaforte enfasi su come un lavoro è svoltoall’interno di un’organizzazione, in con-

trasto con il semplice concentrarsi sucosa viene prodotto. Un processo è, co-sì, uno specifico ordine logico dato alleattività lavorative nel tempo e nello spa-zio, con un inizio, una fine e con inputed output chiaramente identificati e unastruttura per agire.Ogni attività è realizzata mediante unprocesso e ogni processo ha dati di in-gresso; i dati di uscita sono i risultati delprocesso, cioè i prodotti sia tangibili cheintangibili. Lo stesso processo è, o do-vrebbe essere, una trasformazione cheaggiunge valore. Ogni processo coinvol-ge in qualche modo persone e/o altre ri-sorse. Le attività comprendono sia i processiproduttivi (quelli che trasformano mate-rie prime in prodotti finiti) sia la miriadedi azioni che supportano questi processi. Caratteristiche dei processiLe differenti attività di un processo sonolegate tra loro dalle informazioni e daiprodotti e servizi che si scambiano. Unospecifico evento dà inizio alla prima atti-vità del processo che, a sua volta, per-mette lo svolgimento dei successivi, at-traverso meccanismi di tipo “causa-effet-to”, che consentono di tracciare i confinidel processo che le raggruppa.Ogni processo ha dei clienti, ai quali èdestinato I’output prodotto, che possonoessere sia interni all’azienda sia esterni. Cosa cambia nelle attività di auditingLa letteratura esistente in materia di ge-stione per processi lascia, per la sua va-stità, ampio margine alle interpretazioniper quanto riguarda i passi applicativinecessari durante l’audit.Gli elementi critici nella gestione perprocessi da considerare sono: esistenzadel “responsabile” del processo (processowner); il Processo è definito; il Processoè documentato, ove possibile; i collega-menti del processo sono stabiliti; il Pro-cesso è monitorato, analizzato e miglio-rato; le Registrazioni sono conservate.Le domande che l’azienda deve, percontro, porsi per gestire correttamentel’approccio per processi risultano le se-guenti: � I requisiti del cliente sono capiti e ri-spettati?



� Il processo è a valore aggiunto?� Quali sono i risultati di prestazioneed efficienza del processo?

� Quale è l’evidenza del miglioramen-to continuo?

Le registrazioni dell’attività di auditingMolte sono le novità introdotte dall’e-missione della 9101 intermini di reporti-stica del processo di audit. Vediamo al-cuni.� Appendix A: Object Evidence Re-

port (OER)- NON è una check list!!!- La compilazione dell’OER può ini-ziare durante l’audit di Stage 1 perregistrare i documenti esaminati- È una registrazione da conservareda parte dell’OdC - Il gruppo di audit deve registrareevidenze oggettive dettagliate (pro-cedure esaminate, ordini, registra-zioni di addestramento, prodotti, re-gistrazioni delle verifiche).- Le evidenze oggettive devono esse-re registrate utilizzando un modulostandardizzato [OER (vedere Ap-pendix A)] o la documentazionepropria dell’Organismo di Certifica-zione. In questo caso, i documentidell’Organismo di Certificazionedevono soddisfare lo scopo del-l’OER. - Se la sezione 7 degli standard dellaserie 9100 ed punti relativi sonocorrelati con i processi che sono og-getto di PEAR, è possibile che l’evi-denza oggettiva sia documentataSOLO sul PEAR. In tal caso, il nu-mero di PEAR dovrebbe essere ri-chiamato sull’OER.- Oltre alla registrazione della confor-mità / non conformità, il team di au-dit può identificare opportunità peril miglioramento.

� Appendix B: Non Conformity Re-port (NCR)- Una non conformità per modulo.Regola dell’uno- Non scambiare l’evidenza oggettivacon la descrizione della Non con-formità e viceversa- La non conformità è il mancato ri-spetto del requisito

- Se non è presente evidenza delmancato soddisfacimento di un re-quisito, l’auditor non può emettereuna non conformità- Una non conformità identica o simi-le che si ripresenti durante auditsuccessivi in un sito specifico, com-porterà l’emissione di una non con-formità maggiore. - Una blanda valutazione delle nonconformità e/o la loro classificazio-ne come osservazione, opportunitàdi miglioramento o raccomandazio-ne non porta beneficio all’organiz-zazione, ai suoi clienti, o all’Organi-smo di Certificazione (vedere punto4.2.2.5, Nota 3, 9101)

� Appendix C: Process EffectivenessAssessment Report (PEAR)- I risultati di ogni processo di realiz-zazione del prodotto auditato (comestabilito dall’organizzazione) devo-no essere registrati su un PEAR (Pro-cess Effectiveness Assessment Re-port) – gli auditor devono farlo!- Identificare ogni processo e indicareil nome del processo come definitodalla organizzazione – chi governail processo?- Riassumere le attività di processo –input e output in più l’identificare leinterfacce del processo associato- Identificare il punto/i principale/idella norma applicabile/i al processo- Registrare le evidenze oggettive rile-vanti, condizioni osservate, dati, in-formazioni, commenti, ecc – usare,per sostenere le affermazioni del-l’auditor, i termini efficacia o ineffi-cacia

I livelli che l’auditor utilizzerà per espri-mere su questo modulo l’efficacia deiprocessi di un’organizzazione sono ba-sati su 4 livelli1.Processo non attuato, i risultati pianifi-

cati non sono raggiunti2.Processo attuato, i risultati pianificati

non sono raggiunti e non sono stateprese azioni adeguate

3.Processo attuato, i risultati pianificatinon sono raggiunti, ma azioni ade-guate sono state prese

4.Processo attuato, i risultati pianificati

sono raggiunti� Appendix D: QMS Matrix- Il QMS Process Matrix Report (vede-re Appendix D) deve essere comple-tato dal gruppo di audit per ogni sitovisitato, per dimostrare quali processie punti del sistema di gestione per laqualità siano stati sottoposti ad audit - È possibile compilare una sola QMSMatrix per tutti i siti a condizioneche sia mantenuta la tracciabilitàper ogni sito. Quindi, uso flessibileda parte dell’OdC.

Il QMS Process Matrix Report può essereusato:- dopo lo Stage 1, per la preparazionedel piano di audit per lo Stage 2;- dopo l’audit di certificazione/rinno-vo della certificazione, per prepara-re il piano di audit per gli audit disorveglianza del ciclo di certifica-zione; o- quale strumento per aiutare nellachiara presentazione della correla-zione tra i requisiti dello standarded i processi dell’organizzazione.

ConclusioniLe prime applicazioni hanno dimostratoalcune difficoltà nell’adozione dell’ap-proccio per processi, che possono esserericondotte alla difficoltà di gestire con-temporaneamente la fase di riprogetta-zione dei processi e quella di conversio-ne ad una struttura organizzativa basatatotalmente sui processi, al timore di per-dere tutte le competenze specialistichecaratteristiche dell’organizzazione fun-zionale e, infine, al fatto che il processorappresenta per l’organizzazione una ba-se più instabile rispetto alla funzione.Il nuovo mercato ha, quindi, dettato lenuove regole: meglio, allora, muoversiper tempo. È ormai conoscenza comune che leaziende massimizzano i risultati di effi-cienza e competitività in relazione allatempestività con cui si adeguano ai nuo-vi cambiamenti che il mercato richiede. È il mercato del Terzo Millennio ad im-porlo, il mercato “del villaggio globa-le”, che diventa sempre più improntatosulla qualità delle aziende, ovvero:qualità del servizio, efficienza e rapidi-

� Efficacia dei processi e nuovi strumenti applicativi �17

tteemmaa

www.aicq.it

Il decreto legislativo 231 del 2001 haesteso alle società la responsabilità perreati commessi, nel suo interesse o a suovantaggio, da qualsiasi loro dipendente.In pratica, mentre prima rispondevadirettamente la persona che commettevail reato, ora viene chiamata a risponderesempre la società di cui la persona fa parte(come amministratore, o dipendente ocollaboratore, ecc.). Contemporanea -mente, però, il decreto ha previsto unaformula di esonero da responsabilità avantaggio della società, la quale nonrisponde se prova di aver adottato unmodello di organizzazione e gestioneidoneo a prevenire reati come quellocommesso. La legge procede indivi -duando i requisiti del modello organiz -zativo che sono tali da agire soprattuttopreven tivamente. Il modello richiesto dallalegge prevede infatti l’individuazione a) delle attività nel cui ambito potreb -bero essere commessi reati,

b) protocolli di formazione e di pre di -sposizione di attività per la pre venzionedei reati,

c) modalità di gestione delle risorsefinanziarie per impedire la com mis -sione di reati,

d) un organismo deputato espressa menteal controllo del rispetto del modello,

e) un codificato sistema sanzionatoriodisci plinare per scoraggiare la commis -sione dei reati.

Si tratta di un modello fortemente miratoalla formazione, alla prevenzione e alcontrollo; e questi aspetti sono comunianche ad altri sistemi ormai diffusi a livelloaziendale: il sistema di gestione per laqualità (ISO 9001) in primis, il sistema digestione ambientale (ISO 14001) ed ilsistema di gestione per la sicurezza(OHSAS 18001). Ecco perché implicitonella legge stessa è l’approccio integratofra tutti questi sistemi.

QualiWare si presenta come uno stru -mento perfetto per questa gestione in -tegrata, proprio perché mette a dispo -sizione strumenti adeguati a gestire gliaspetti sopra citati. Grazie all’approcciostrutturato, all’utilizzo di un unicodatabase documentale, e soprattutto allaflessibilità di confi gurazione e adat -tamento consentita dal Form Designer,con QualiWare è possibile realizzare lacorretta gestione di tutti gli aspetti delmodello organizzativo.• Il modulo Gestione Documentaleconsente di affiancare al Manuale dellaQualità o al Manuale di Ge stioneAmbientale, il documento descrit tivodel Modello Organiz zativo 231, non -ché tutta la documentazione a corredo,attraverso un workflow controllato,pubblicazione e distri buzione, revisionee conser vazione dello storico.

• La formazione e l’informazione pos -sono essere pianificate, gestite everbalizzate col modulo di Gestionedelle Risorse Umane, elaborando ununico programma di formazione ar -ticolato per area di pertinenza: qualità,sicurezza, ambiente, modello 231, conle stesse metodologie, fra cui la fon -damentale valutazione di efficacia dellaformazione. Lo stesso modulo di Ges -tione delle Risorse Umane consente diinserire all’in terno dell’organigrammaaziendale uno specifico organo di vi-gilanza e controllo del rispetto delmodello organizzativo adottato, ge -stendo le competenze e la formazionedegli addetti e dei responsabili del -l’organo stesso.

• Con il modulo Audit, che gestisce lapianificazione e verbalizzazione delleverifiche interne previste dal sistema digestione per la qualità, possono esseregestiti anche i controlli periodici daparte dell’ente di vigilanza interno sul

rispetto e sul funzionamento del mo -dello organizzativo.

• Aspetto fondamentale della disciplinadella legge 231 è l’individuazione apriori delle attività nell’ambito dellequali si possono configurare i reatioggetto della legge; si tratta, a benvedere, di un’o perazione di analisi evalutazione del rischio che si può – eanche conviene – gestire con modalitàstrutturate e adeguatamente documen -tate. Il modulo di Gestione del Rischiodi QualiWare consente: la definizionea priori dei rischi potenziali, classi -ficabili in merito ad un indice di ve -rificabilità, un indice di gravità ed unindice di rischio vero e proprio dato dalrapporto fra i due precedenti; l’indi -viduazione delle soluzioni proposte edelle azioni da adottare per ridurrel’indice di rischio individuato; ilcontrollo sul comple tamento delleattività previste; l’apertura diretta diazioni correttive e preventive collegataad ogni analisi di rischio. Il moduloGestione del Rischio è di spo nibile supiattaforma web, in modo da agevolarela sua utilizzazione come strumento dicondivisione delle informazioni e digestione del lavoro di gruppo.

I vari moduli che compongono QualiWaresono perfettamente integrati fra di loro,ed è possibile, in particolare, collegareogni documento o registrazione con glialtri che vi fanno riferimento, realizzandoquindi un siste ma di rintracciabilitàdocumentalemolto efficace anche da unpunto di vista visivo.Ma il grande vantaggio è, come anticipato,la gestione integrata dei sistemi: managere operativi accedono alla stessa interfacciaper utilizzare tutte le funzioni principaliattinenti ai sistemi di gestione attivi inazienda, con la garanzia e la serenità dipotersi affidare ad una metodologia dilavoro strutturata e condivisa con i colleghicoi quali si devono confrontare per im -plementare le attività previste in ot -temperanza ai vari sistemi.

Ulteriori informazioni sulle funzionalità sono disponibili suwww.qualiware.it

18ddaa

ll mmoonn

ddoo ddeellllee iimm

pprreessee

QUALIWARE E LA GESTIONE DEI RISCHI NEL MODELLO ORGANIZZATIVO 231

luglio/agosto 2012

www.aicq.it luglio/agosto 2012

Ogni impresa nel rispondere aipropri stakeholder deve confron-tarsi con chi può essere in grado

di stimolare miglioramenti.I valutatori, nel fare il loro mestiere,possono diventare dei veri e propri“benchmarker organizzativi” in gradodi dare un nuovo valore all’azienda.Per le imprese l’esperienza dell’auditpuò anche essere un osservatorio dalquale il titolare può vedere i suoi puntidi forza e di debolezza interni e con-frontarsi con le opportunità e le minac-ce del segmento di mercato in cui ope-ra.L’evoluzione del mondo aziendale ver-so i temi organizzativi evidenzia esi-genze di formazione degli auditor ag-giuntive per soddisfare le competenzerichieste.Conoscere e sfruttare gli strumenti or-ganizzativi, saper interpretare gli anda-menti economico-finanziari sono fatto-ri critici importanti per il futuro del no-stro mestiere.Vorrei iniziare questo articolo riportan-do la sintesi di un bel commento diuna collega che ha partecipato di re-cente al corso Executive Auditor.Abbiamo una grande onere: credere edessere certi che in quanto professionistipossiamo contribuire con il nostrooperato, anche con solo qualche gior-nata a disposizione al benessere azien-dale nella sua interezza….

.... abbiamo compreso come i numerihanno un grande e al contempo sem-plice significato, ci permettono di veri-ficare se all’interno di ogni organizza-zione c’è coerenza fra le regole interneai processi, obiettivi , strategie e mis-sion della Proprietà.…. un nuovo modo di Ascoltare e dia-logare con valore aggiunto in presenzadella Direzione, sia quelle più evolute,sia quelle più semplici e basiche forsele più “passionali” poiché assetate diconoscenze e di strumenti.

Il profilo degli auditorGli auditor sono competenti sulle nor-mative applicabili, sui sistemi di produ-zione, sulle tecniche di controllo ed ingenerale sul come valutare le struttureorganizzative. Seppure su questi aspetti il migliora-mento e gli approfondimenti siano pra-ticamente “infiniti”, il gap di compe-tenze da colmare riguarda principal-mente quella che potremmo definire la“capacità di attrarre l’interesse delleDirezioni aziendali” in particolare sutre aspetti:� come individuare in modo sempli-ce, veloce ed efficace le strategiedelle imprese per orientare gli au-dit affinché possano fornire ancheuna indicazione su quanto il siste-ma di gestione sia effettivamenteallineato agli obiettivi direzionali

� come interpretare al meglio la fina-lità dell’approccio per processi,che rappresenta una delle opportu-nità migliori derivate dalle teorieorganizzative per orientare la ge-stione in base agli obiettivi

� come valutare la coerenza degli in-dicatori definiti dalle organizzazio-ni ed interpretare quelli di naturaeconomico finanziaria

Già SINCERT nel 2003 evidenziava inmodo chiaro la necessità approfondirele conoscenze trasversali enfatizzandoil tema organizzativo e gestionale co-me uno dei principali fattori di succes-so per la qualità.

Obiettivi per il futuro, la visione di insiemeLe certificazioni hanno segnato un de-cennio importante affiancando la cre-scita delle aziende che dovevano af-frontare mercati allargati con la neces-sità di fornire maggiore fiducia ai pro-pri clienti. Le aziende, dotandosi di unsistema organizzato per tener sottocontrollo le proprie attività aziendali eil rispetto dei requisiti cogenti negliambiti regolamentati, hanno ricevutostimoli al miglioramento. Necessario ed efficace, è stato il contri-buto di noi valutatori nell’accompa-gnarle in questo percorso.Ma la visione d’insieme che può offrireun sistema realmente e completamente

Alberto Marivalutatore RGVI certificato AICQ-SICEV, consulente di Direzione certificato APCO

Le competenze organizzativeper il futuro dei SG

19tteemm

aaFormazione società qualità scuola

>>


www.aicq.it

integrato permette l’ottimizzazione deicosti di gestione, delle pratiche orga-nizzative ed amministrative ma soprat-tutto migliora l’efficacia e l’efficienzaorganizzativa delle imprese.Fonte: Rapporto Accredia Censis 2011Le stesse imprese certificate, pur rico-noscendo che lo schema ISO 9001consente un miglioramento delle pre-stazioni, sono consapevoli che talestrumento con il tempo genera sempremeno valore aggiunto, rischiando inmolti casi di essere un semplice pas-saggio burocratico incapace di stimo-lare a migliorare la struttura interna emantenere alta l’attenzione sull’innal-zamento di efficienza. Il rischio è, dunque, di depotenziare equasi di banalizzare uno strumento utilealla competitività del tessuto produttivo,un rischio che non è possibile correre. Come più volte sottolineato in prece-denza, in presenza di un tessuto pro-duttivo scarsamente focalizzato sugliinvestimenti in tecnologia, l’innalza-mento della qualità diventa un mezzoessenziale per sopperire a tale debo-lezza strutturale.Solo se sapremo dimostrare la capacitàdei sistemi di incidere sui risultati delleimprese potremo sperare in un futurolavorativo appagante per tutti.Se oggi vogliamo costruire un futuronel quale i sistemi di gestione potrannoessere considerati fra gli strumenti ne-cessari per le imprese dobbiamo fareun grande sforzo, intraprendendo unpercorso tanto banale quanto difficile. Da un lato dovremmo tornare alle ori-gini ritrovando con umiltà il valore delbuon senso, dall’altro dovremmo trova-re la forza di superare tutte le difficoltà

che influenzano il nostro mestiere svi-luppando, con ottimismo contagioso,le nostre competenze.Il tema è ampio, ma lo è anche il no-stro ruolo e mai come in questo perio-do lo scenario è stato così critico e allostesso tempo aperto a veri e propricambiamenti.

Il sistema aziendaLo scopo di un sistema di gestione èquello di aiutare un’organizzazione adefinire le proprie politiche e raggiun-gere obiettivi che siano coerenti conqueste.La sequenza logica per progettare almeglio la struttura organizzativa, for-malizzata o meno, da sempre è sinte-tizzabile nelle seguenti fasi: (Vedere fi-gura 1)1.Definire gli obiettivi strategici, ovve-ro tradurre operativamente le inten-zioni dell’imprenditore, coerenti conle condizioni del mercato;

2.Definire la strategia con i suoi fattorichiave. Il termine strategia è stato in-trodotto nella ISO 9004:2009 come“piano o metodo strutturati logica-mente per conseguire gli obiettivi, inparticolare nel lungo periodo”. I fat-tori chiave sono le variabili fonda-mentali per capire come recepire lastrategia, quali capacità si devonosviluppare/presidiare per conseguiregli obiettivi;

3. Individuare i processi aziendali, chesono la rappresentazione dei flussioperativi interni, mappando comeavviene il lavoro utile al raggiungi-mento degli obiettivi strategici;

4.Definire gli obiettivi dei processi,che hanno il compito di recepire gli

obiettivi strategici;5. Individuare gli indicatori dei proces-si, per avere un’espressione misura-bile/quantitativa utile e rilevare iltrend degli obiettivi di processo.

La realizzazione di un sistema di ge-stione in sostanza consiste nel definireil proprio sistema di management.

L’identificazione dellestrategieIn particolare nelle nostre PMI solo ab-binando il “sapere” al “saper fare”, ov-vero la teoria alla pratica, è possibileapplicare gli strumenti normalmentedisponibili per le realtà maggiormentestrutturate.Indipendentemente dal metodo di indi-viduazione delle strategie, ogni azien-da è caratterizzata da un imprenditoreo comunque da un organo di governo,che ne determina le scelte in base allevalutazioni di una serie di aspetti .La definizione, spesso non scritta, dellestrategie rappresenta uno dei processifondamentali per qualsiasi impresa.Kaplan e Norton: “Impresa orientataalla strategia: su uno studio relativo adun campione di aziende in crisi, percirca il 70% le motivazioni … eranoattribuibili non tanto ad una cattivastrategia ma ad una sua non correttaesecuzione” Le strategie aziendali, applicate per isegmenti individuati, rappresentano lastrada da seguire e permettono di stabi-lire il mezzo (struttura organizzativa)necessario per farlo.

I segmenti di mercatoI segmenti rappresentano i settori/pro-dotti/servizi di riferimento dell’azienda.


luglio/agosto 2012

> Figura 1 - La sequenza logica della progettazione organizzativa


Le strategie devono sempre essere defi-nite rispetto a ciascun segmento indivi-duato, spesso si trascura questo aspettoe nelle migliore delle ipotesi si spendo-no male le poche risorse disponibili.I segmenti si differenziano in base aiseguenti principali criteri:� Prodotti o servizi diversi� Clienti diversi per gli stessi prodottio servizi

� Logistiche differenti� Versioni di prodotto/servizio diffe-renti o personalizzate

Gli approcci alla strategiaLe strategie si dividono su due macrofronti, capire il business e i concorrentie posizionarsi meglio di loro oppurenon preoccuparsene e basarsi sulleproprie competenze. (vedere figura 2)L’unione dei due approcci ci permettedi definire una valutazione del conte-sto nel quale opera l’azienda e la situa-zione interna, aiutandoci a capire i fat-tori critici di successo che dovremomaggiormente presidiare.Indipendentemente dall’approccio ri-sulta importante riflettere sugli aspettiche da sempre influenzano le scelte diuna azienda:� Fornitori� Clienti� Concorrenti leggi e regolamenti --> Prospettiva esterna

� Barriere� …� Competenze� Gestione clienti� Gestione fornitori-> Prospettiva interna

� Progettazione produzione

L’analisi SWOTUno strumento utile per “veicolare” leinformazioni derivanti dalle attività di“analisi dei rischi” esterni ed internipuò essere l’analisi SWOT.Si basa su una matrice divisa in quattrocampi, dedicati rispettivamente:� ai punti di forza (strenghts);� di debolezza (weaknesses);� alle opportunità (opportunities);� alle minacce (threats).Mettere in relazione le prospettive dicui sopra aiuta a finalizzare le infor-mazioni disponibili rispetto agli obiet-tivi.La definizione delle strategie secondoil percorso delineato risulta più “abbor-dabile” anche per non addetti ai lavorie consente di formulare delle linee gui-da strategiche coerenti con l’analisi ef-fettuata.La matrice è stata proposta da H.Weihrich nel 1982, fra i modelli e stru-menti per la pianificazione strategica.(vedere figura 3)

Evoluzione dei modelliorganizzativi e approccioper processiIl passo successivo a quello dell’indivi-duazione delle strategie riguarda la de-finizione della struttura organizzativanecessaria per raggiungere gli obiettividefiniti.L’approccio per processi permette unanaturale evoluzione dall’approcciofunzionale legato alla definizione dicompiti a quello per obiettivi.È uno dei principi della norma ISO9001 meno compreso e sfruttato per ilpotenziale che porta con se. La correttaapplicazione permette di razionalizza-re le risorse e responsabilizzare il per-sonale.L’innovazione organizzativa si basa suiprocessi di management: Budgeting,pianificazione strategica, gestione dellecompetenze, analisi dei dati e repor-ting…Raramente mappati nei sistemi di ge-stione questi processi rappresentano gli“ingranaggi” necessari per il funziona-mento delle organizzazioni.

L’importanza dei processiI processi rappresentano le “parti” dallamacchina (organizzazione ) che dovràcondurre le aziende nelle strade defini-te (strategie).È fondamentale stimolare le aziende af-finché sfruttino al meglio questo ap-proccio per rappresentare tutti i proces-si necessari per la gestione.La metodologia per l’individuazionenon è “scientifica” e necessita una vi-

� Le competenze organizzative per il futuro dei SG �tteemm

aa21

> Figura 2 – Gli approcci alle strategie

> Figura 3 – L’analisi SWOT


sione di insieme e conoscenza delle at-tività aziendali.L’elemento fondamentale che deve ca-ratterizzare sempre un processo è l’o-biettivo.L’obiettivo di un processo ha il compitodi recepire gli obiettivi strategici, rap-presenta il motivo per cui si svolgonole attività necessarie per conseguire lastrategia delineata.È attraverso l’obiettivo che si potrannoottimizzare le attività svolte e responsa-

bilizzare al meglio il personale.

Gli indicatori economicofinanziariGli indicatori rappresentano il passo fi-nale della messa a punto di un buon si-stema di gestione, aver definito gliobiettivi di ciascun processo aiuta mol-to nell’individuazione degli indicatori.Chiedendosi “che succede se non siraggiunge l’obiettivo”? Si trova l’indica-tore più coerente per il processo.

Ma gli indicatori dovrebbero essere al-meno di tre tipi, qualità tempi e costi.Mentre per i primi due normalmentesiamo in grado di cavarcela, sui costispesso gli addetti ai sistemi si trovanomeno a loro agio.E’ necessario che un pilota conosca ilsignificato dei messaggi forniti daglistrumenti, ma non si pretende che sap-pia progettarli o costruirli.Allo stesso modo l’obiettivo di un audi-tor è quello di fare un uso managerialedegli indicatori di bilancio senza ne-cessariamente saperli elaborare.La nostra conoscenza generale delleaziende ci mette in condizioni di capi-re cause ed effetti delle attività, trovarele soluzioni ai problemi e individuareambiti di miglioramento.Ma è necessario per i “non addetti ailavori” sforzarsi di capire almeno imeccanismi di base della contabilità.L’azienda tutti i giorni deve fare la ge-stione delle attività necessarie per por-tare profitto, acquista, vende e paga sti-pendi, banche ecc… Tutte le attività che assorbono o gene-rano risorse economiche vanno rilevatee lo strumento per farlo è il bilancio.


> Figura 4 - Le relazioni impresa ambiente strategia

> Figura 5 - Esempio di scheda dell’indicatore ROE


La prospettiva di lettura delle dinami-che aziendali è diversa rispetto a quelladei sistemi di gestione, ma la finalità èla stessa. (vedere figura 4).Dal bilancio opportunamente riclassifi-cato si possono calcolare gli indicatori.La capacità di lettura dei principali in-dicatori ricavabili da un bilancio è unodegli obiettivi che i valutatori dovreb-bero porsi.Nella figura 8 si propone una schedarealizzata da un valutatore senza nes-suna esperienza specifica (chi vi scrive)dopo aver cercato di capire l’abc dellastruttura di un bilancio.Sempre nel rapporto Accredia Censis2011 un’analisi dei dati fa riflettere sul-l’importanza degli indicatori economi-co finanziari e la capacità di saperneinterpretare i messaggi organizzativi.(vedere tabelle sul rapporto http://www.accredia.it/UploadDocs/ 2100_RAPPORTO_ACCREDIA_CENSIS_2011.pdf)Nel confronto tra i due campioni, insostanza, le imprese che dispongonodi certificazione di qualità mostranonel tempo migliori performance perciò che concerne:a) i livelli di redditività del capitale, de-

gli investimenti e del fatturato;b)gran parte degli aspetti legati alla ge-

stione corrente, sia nella componen-te di formazione di liquidità operati-va che nella gestione delle scorte edei crediti commerciali.

Viceversa, le imprese certificate mo-strano risultati relativamente meno bril-lanti per ciò che concerne due aspetti:c) gli equilibri finanziari, ovvero la dis-

ponibilità di liquidità ed il suo costo;

d) le misure di produttività.Resta aperta l’interpretazione di tali dati.Non vi è la certezza assoluta che la cer-tificazione migliori realmente alcuni de-gli aspetti gestionali delle imprese, tutta-via il ripetersi nel tempo di alcuni feno-meni positivi sembrerebbe dimostrareche lì dove l’azienda dispone di un siste-ma per la qualità ben costruito, le pro-babilità di innalzamento dell’efficienzadi alcune funzioni sono maggiori.

Il corso Executive Auditore il ruolo di AICQ SICEVI contenuti di questo articolo in partederivano dal materiale del corsoExecutive Auditor.Il corso rappresenta un contributo nelladirezione degli obiettivi dimiglioramento delle competenze degliauditor sui temi trasversali e dimanagement.I contenuti formativi del corso ed ilrelativo esame finale sono riconosciutiai fini dell’iter di certificazione AICQSICEV ed è verificabile nel registro conil numero di 46.L’ottenimento del riconoscimento diquesto corso, innovativo e integrativorispetto all’offerta attuale, dimostra lalungimiranza e la disponibilità di AICQSICEV. Aver identificato nuove esigenzedelle imprese e messo a disposizione leproprie competenze per renderedisponibile uno strumento utile aivalutatori assicurandene la validità,dimostra che le cose possonocambiare.

ConclusioniVorrei completare l’articolo facendo di

nuovo ricorso al Rapporto AccrediaCensis 2011 che lascia a tutti noi unagrande speranza, ma allo stesso tempoevidenzia chiaramente la necessità diattuare un profondo cambiamento.Fonte Rapporto Accredia Censis 2011Il mercato potenziale appare moltoampio se si tiene conto che anche nonconsiderando la grande maggioranzadi aziende individuali per lo più di ri-dotte dimensioni, non sempre adatteallo schema ISO 9001, le società dipersone e di capitali sono quasi 2 mi-lioni.“Forte è l’impressione che non si trattidi un mercato saturo o di impresemiopi e refrattarie al valore strategicodella qualità, ma di un prodotto/servi-zio maturo non sempre adatto a biso-gni mutevoli. Molti sono i casi diaziende certificate che lamentano unacerta disillusione nei confronti dell’I-SO 9001 e la relativa facilità con cuiessa può essere ottenuta, con il rischiodi una perdita di significato di talestrumento.”A tutti noi la responsabilità di“reinventare il buon senso” per salvareun mestiere straordinario.

BibliografiaRapporto Accredia Censis 2011:http://www.accredia.it/UploadDocs/2100_RAPPOR-TO_ACCREDIA_CENSIS_2011.pdfCorso Executive Auditor (www.execu-tiveauditor.it) Impresa orientata dalla strategia, Ka-plan Robert S. - Norton David P.Il Futuro del Management, Gary HamelGuida FT: Strategia, Richard Koch

� Le competenze organizzative per il futuro dei SG �23

tteemmaa

> Figura 6 - % aziende certificate



24tteemmaa

Non si tratta solo di occhi, nasi eorecchie, si tratta di un nuovosentire, inedito e post-moderno

con i nervi, con la mente, con il cuorema anche con un innovativo brief e uninedito piano formativo > “Mystery Mar-keting: una nuova check list” - AnnaMaria Milesi - Mark Up – ottobre 2011Abbiamo avuto conferma di essere auna svolta quando l’articolo - con l’au-torevolezza di una testata edita dalgruppo Sole 24 ore – è arrivato sulle no-stre scrivanie. In un periodo di crisi so-ciale ed economica, spesso è proprio ilmercato a dare segnali forti e concreti dinuovi e/o diversi bisogni. Nel caso spe-cifico, la giornalista ha posto l’accentosulla necessità di nuove abilità e com-petenze per operare come MysteryClient.Per noi, è stato il concretizzarsi non solodi una tendenza, anticipata nel nostroPaese dalla pubblicazione della lineaguida UNI/TS 11312, ma anche diun’intuizione imprenditoriale sulla ne-cessità di avviare percorsi formativi perprofessionisti, orientati ad un modernoutilizzo della metodologia nel mercato enella società. È crescente inoltre la necessità - anche

in vista di EXPO 2015 – di migliorare laqualità dell’offerta al cittadino, al clien-te, al consumatore, al turista e agli uten-ti in generale. Un importante contributopuò venire da un utilizzo più completoe strutturato della ricerca Mystery Audit,che valuta il servizio nel momento esat-to in cui viene erogato e le cui evidenzesono utilizzate in un’ottica di sviluppodelle risorse umane. La forza dello stru-mento sta però anche nel suo principalerischio: si monitorano e valutano perso-ne mentre lavorano senza che ne sianoal corrente. Chi svolge in incognito l’attività di Audi-tor non osserva, infatti, solo parametristatici, ma soprattutto le persone nel lo-ro agire. Il Mystery Audit non è un controlloesplicito, bensì un metodo che ha loscopo di individuare il tipo di percezio-ne di un “fruitore tipo” e implica pertan-to la necessaria condizione di “mettersiin relazione” con un interlocutore chein quel preciso momento non sa di esse-re monitorato.Occorre, quindi, necessariamente svi-luppare legami e vincoli interpersonali,entrare in relazione e attuare comporta-menti volti a facilitarla.

Susanna GonnellaMystery Auditor Coordinatore AICQ SICEV, Mystery Auditor Trainer e Managing Director Susanna Gon-nella srlPaola VenezianiMystery Audit Project Leader Susanna Gonnella srl, Mystery Auditor Qualificato AICQ

>>

Gli esperti della relazione in incognito

L’efficacia del processo di audit effettuato in incognito dipende dalle competenzee abilità di chi effettua una rilevazione.UNI/TS 11312 – par 9 Competenze e valutazione degli auditor

Professione Mystery Auditor

Solo così è possibile monitorare effica-cemente la fruizione di un servizio, l’ap-plicazione di una procedura, lo svolgi-mento di un’operazione di acquisto,ecc. Per far ciò è indispensabile avvalersi diesperti, di veri e propri professionisti delsentire, in grado di lavorare su se stessiper migliorare la propria capacità di re-lazionarsi con gli altri.Anche la linea guida UNI/TS 11312, fariferimento nel capitolo 9, all’importan-za delle caratteristiche personali e allecompetenze richieste a un Mystery Au-ditor (Figura 1). Secondo la nostra esperienza diretta lepiù complesse da apprendere e applica-re sono le capacità di:� Leggere contesti e al contempo rile-

vare dettagli (cioè avere una visioned’insieme e sapere al tempo stessoosservare – oggettivamente – tutti iparticolari)

� Rispettare cose e persone con cui sientra in contatto (avere un approc-cio etico verso i beni dell’organizza-zione soggetta ad auditing e verso lepersone che vi lavorano)

� Sapersi riconoscere in una sceneg-giatura (predefinita da altri) e inter-pretarla in modo efficace e credibi-le (secondo le proprie caratteristichepersonali)

Si tratta di competenze e abilità inerentialla “predisposizione alle relazioni”, re-


se ancora più determinanti dal fatto chetutto si deve svolgere in incognito.Siamo ormai talmente abituati a leggerefrasi del tipo “si richiede predisposizio-ne alle relazioni umane” da essere quasiportati a considerarla una capacitàscontata, qualcosa che tutti sono ormaiin grado di esprimere abitualmente.Non è così. Tutti noi sappiamo leggere escrivere. Alcuni, però, sanno farlo inmodo diverso. Sanno richiamare l’atten-zione parlando con maggiore efficacia.Altri sanno scegliere le parole più adattea catturare l’interesse di chi legge o asuscitare emozioni. Lo stesso vale per lacapacità di relazione, ancor più quandosi tratta di un Audit in incognito.Un Mystery Auditor, infatti, osservacomportamenti, domanda, ascolta, sce-glie, fa osservazioni, obiezioni, reclami.Per farlo, deve necessariamente intera-gire e mettersi in relazione, interpretan-do una parte e avendo cura di esserecredibile per non svelare il suo ruolo dicliente misterioso. La parola e il concetto di “relazione”abbracciano molteplici significati eazioni conseguenti. Essere in relazionerappresenta il rapporto tra due o più per-sone, mettere in relazione significa lacapacità di individuare i punti di contat-to, di coerenza e sviluppo tra cose, real-tà e contesti diversi.Se guardiamo al mercato, l’attenzionedelle Aziende è orientata alla costruzio-ne di esperienze di shopping emoziona-

le e ogni azione volta al perseguimentodegli obiettivi, presuppone l’instaurarsidi una relazione.Anche il settore pubblico (Pubblica Am-ministrazione, Sanità, ecc...), con tempi,motivazioni e obiettivi declinati diversa-mente, desidera lo stesso risultato: gene-rare e consolidare una relazione con lapropria utenza. Attraverso il monitorag-gio in incognito è possibile verificareanche parametri relativi a diritti, valori edoveri declinati in una carta dei servizi,quali ad esempio: il diritto al rispetto deltempo dei pazienti, all’accesso, alla fi-ducia, al trattamento personalizzato,ecc.Ogni attività, dalla shopping experience

alla più complessa interazione tra medi-co e paziente ha come fulcro la relazio-ne: la capacità di intraprenderla, la suaqualità, il suo sviluppo e consolidamen-to.Per essere Mystery Client, MysteryShopper, Mystery Patient, Mystery Guestè quindi indispensabile diventare unprofessionista della relazione in inco-gnito.Un’attività che va così in profondità e incui si valutano persone mentre svolgonol’attività lavorativa, richiede ai MysteryAuditor competenze, etica e professio-nalità elevate. Occorre quindi che essisiano consapevoli che i propri atteggia-menti e comportamenti influenzano e

� Professione Mystery Auditor �25

tteemmaa

Relazione (definizioni tratte da Garzanti Linguistica): � Il modo d’essere di una cosa rispetto a un’altra; rapporto intercorrente tra dueconcetti: relazione di causa ed effetto; mettere in relazione due fatti

�Legame, vincolo tra persona e persona | relazione sociale, connessione tradue o più soggetti, tale che dalla conoscenza del comportamento di uno di es-si è possibile inferire il comportamento corrispondente dell’altro o degli altri

�Resoconto orale o scritto su argomenti conosciuti o esaminatiDal lat. relatione(m), deriv. di relatus, part. pass. di referre ‘riferire’.

Esempio di elementi di customer experience*, tipicamente monitorati in incognito: �Costruire una relazione e non una semplice vendita�Esplorare i desideri e i bisogni del cliente�Offrire una consulenza�Far vivere un’esperienza gradevole�Argomentare il valore di un servizio/prodotto nell’ottica dei benefici per il cliente�Generare un legame di fidelizzazione e reputazione positiva* componente esperienziale che motiva la scelta del consumatore

> Figura 1: Mappa mentale Cap 9.1 UNI/TS 11312


in alcuni casi possono compromettere ilrisultato dell’audit. È necessario quindi che il Mystery Audi-tor sappia riconoscere quali favorisconoe quali invece ostacolano unarelazione, durante un audit in incognito.E per facilitare la relazione non s’inten-de suggerire o “fare andare bene le co-se”: significa ascoltare attivamente, en-trare in empatia, mostrare interesse, inmodo da essere certi che qualora il ri-sultato dell’audit non sia conforme allostandard, il dato rilevato non sia statoinquinato dall’auditor. I fattori ostacolanti la relazione più fre-quentemente messi in atto dai Mysterysono, secondo la nostra esperienza: � Aggressività� Mancanza di spontaneità� Atteggiamento di sfida (voler mette-re alla prova, in difficoltà)

� Incoerenza tra comunicazione ver-bale e non verbale

� Eccesso di domande� Obiezioni, reclami non richiestidallo scenario

Domande e osservazioni orientate solodal pensiero di dover compilare unachecklist.Ciò accade quando il Mystery Auditornon ha chiaro il suo obiettivo: scattareun’istantanea della relazione, scevra ilpiù possibile da interferenze personali.La complessità della professione staquindi nel riuscire a monitorare tutti gliaspetti richiesti, restando nel flusso del-la relazione. Diventare professionisti dell’audit in in-cognito significa amare l’interazionecon gli altri, avere conoscenze appro-fondite della metodologia, fare moltaesperienza sul campo e avere voglia dilavorare su di sé per mettere a disposi-zione del committente le proprie attitu-dini e capacità personali. È necessario mantenere il focus sullapropria crescita personale, approfon-dendo aspetti specifici del mestiere ai

vari livelli: � La capacità di osservazioneper cogliere i dettagli

� Le tecniche di teatralità per esserecredibili

� La prontezza e capacità di improv-visazione per gestire imprevisti discenario e contesto

� Le tecniche di memorizzazione elettura veloce per ricordare i para-metri da monitorare

� La concentrazione e l’attenzioneper rimanere nel flusso della rela-zione e contemporaneamente co-gliere gli elementi di contesto

� La capacità di mettersi nei pannidegli altri per cogliere le proprie e

altrui emozioni e correggere intempo reale comportamenti ostaco-lanti il raggiungimento del risultato

� Gli aspetti della comunicazione ri-guardanti la differenza tra osserva-zione, interpretazione e giudizioper non fare considerazioni sogget-tive non richieste

Il Mystery Audit, quando diventa unaprofessione, aumenta la consapevolezzadel proprio valore e dei propri limiti re-lazionali, porta a migliorarsi, a interfac-ciarsi quotidianamente con contesti e si-tuazioni sempre diverse, allenando alcambiamento continuo. Il piano formativo ideale (rispondendoindirettamente ad Anna Maria Milesi)deve quindi fornire conoscenze, espe-rienza diretta sul campo e deve genera-re le condizioni perché il futuroMystery Auditor si guardi continuamen-te allo specchio.

� Professione Mystery Auditor �26tteemmaa Esempio di Carta dei Servizi* di un Poliambulatorio Specialistico, monitorabile in

incognito: �DIRITTO AL RISPETTO DEL TEMPO DEI PAZIENTIOgni cittadino ha diritto a vedere rispettato il suo tempo (es. tempi di attesa, dura-ta della visita, consegna dei referti medici, ecc)�DIRITTO ALL’ACCESSOOgni individuo ha il diritto di accedere ai Servizi Sanitari che il suo stato di saluterichiede. (es. trattamento pazienti senza permesso di soggiorno)�DIRITTO ALLA FIDUCIAOgni cittadino ha diritto a vedersi trattato come un soggetto degno di fiducia. (es.non trattare il paziente come un possibile evasore/bugiardo, discriminazione deisenzatetto)�DIRITTO A UN TRATTAMENTO PERSONALIZZATOOgni cittadino ha diritto a vedere riconosciuta la sua specificità e a ricevere di con-seguenza trattamenti differenziati a seconda delle diverse esigenze. (es. offerta diprogrammi diagnostici o terapeutici)�DIRITTO ALLA LIBERA SCELTAIl cittadino ha diritto a mantenere una propria sfera di decisionalità e di responsa-bilità in merito alla propria salute e vita. (es. rifiuto di una prestazione, revoca delmedico, dimissioni contro parere medico)�DIRITTO ALL'INFORMAZIONE Ogni cittadino ha diritto a ricevere tutte le informazioni e la documentazione sani-taria di cui necessita nonché ad entrare in possesso degli atti necessari a certificarein modo completo la sua condizione di salute. (es. accesso alla cartella clinica)�DIRITTO ALLA NORMALITÀ Ogni cittadino ha diritto a curarsi senza alterare, oltre il necessario, le sue abitudi-ni di vita. (es. evitare il ricovero laddove la prestazione è eseguibile in regime am-bulatoriale )* dalla Carta Europea dei Diritti del Malato

È necessario essere consapevoli che ogni evidenza oggettiva del mystery può esse-re alterata dal tipo di comunicazione utilizzata.UNI/TS 11312 – par 9.1 Caratteristiche personali degli auditor


Fare efficienza energetica significa,oltre che risparmiare risorse im-portanti per il nostro pianeta, an-

che dotarsi di un metodo per un conti-nuo controllo e miglioramento costan-te. Se da un lato le aziende ormai con-siderano da tempo la spesa energeticacome una delle voci di bilancio piùimportanti, dall’altro hanno la necessi-tà di avere uno strumento che le aiutinel percorso di continua analisi. Eccocome la ISO 50001 aiuti le aziende inquesto percorso, in particolar modo laPubblica amministrazione, sempre piùsoggetta a tagli di budget e patti di sta-bilità da rispettare.Termini quali sostenibilità, energie rin-novabili, efficienza energetica, stannoassumendo ogni giorno sempre più im-portanza in una situazione di crisi eco-nomica, dove ogni azienda deve porreparticolare attenzione a tutte le vocidel proprio bilancio.Se da un lato le aziende private siscontrano ogni giorno con una concor-renza sempre più agguerrita e costi diproduzione sempre più elevati, anchele aziende pubbliche si ritrovano a do-ver fare i conti con tagli di bilancio epatti di stabilità da rispettare. Ecco allora che la spesa energetica, seprima veniva posta in secondo piano otalvolta neppure considerata, oggi siadiventata una delle voci maggiormenteprese in considerazione in quanto “ot-

timizzabile” e in grado di ridare com-petitività alle imprese.Dalla pubblicazione della norma UNICEI EN 16001:2009 prima e della ISO50001:2011 dopo, sempre più aziendehanno capito quanto fosse importantenon solo tenere sotto controllo i consu-mi energetici, ma anche dotarsi di unostrumento in grado di aiutarle nella ge-stione dell’energia e conseguentementenella razionalizzazione dei costi e nelcontenimento degli sprechi.Prima azienda pubblica in Italia a do-tarsi di tale strumento è stata la JesoloPatrimonio s.r.l., azienda a totale parte-cipazione pubblica con unico socio ilComune di Jesolo nella provincia diVenezia; società nata con lo scopo digestire il patrimonio immobiliare e stra-dale, il verde pubblico e l’illuminazio-ne pubblica del Comune.La decisione di dotarsi di un sistema digestione dell’energia secondo lo stan-dard UNI CEI EN 16001:2009, e suc-cessivamente di adeguarlo a quantoprevisto dalla norma internazionaleISO 50001:2011 (con audit pianificatogiugno 2012), è stata in realtà il compi-mento di un percorso iniziato 3 anniprima, partito con l’esigenza di rispon-dere a quanto previsto da una legge re-gionale attraverso il censimento di tuttele linee di illuminazione pubblica.La Jesolo Patrimonio s.r.l. è proprietariadi tutta la linea di illuminazione pub-

blica presente nel territorio del Comu-ne di Jesolo e ne gestisce la manuten-zione ordinaria e straordinaria. L’azienda nata nel 2008 con l’obiettivodi esternalizzare il servizio manutenti-vo del Comune di Jesolo, acquisiscedallo stesso oltre 200 cabine che ali-mentano le diverse linee di illumina-zione pubblica, sobbarcandosi la ge-stione delle stesse oltre che il costodella bolletta elettrica. Nasce pertantol’esigenza da parte dell’azienda, di mo-nitorare i consumi in modo analitico,al fine di poter tenere sotto controlloun numero di impianti in continua cre-scita anche grazie a continue nuovelottizzazioni e aree edificate, le qualiperò spesso presentavano linee di illu-minazione pubblica progettate senzatener conto di parametri di efficienzaenergetica e considerando come unicovalore, il costo di realizzazione e nonad esempio quello di successiva manu-tenzione.I costi sempre più elevati di energiaelettrica e budget sempre più limitatidovuti a tagli da parte dell’amministra-zione comunale hanno portato l’azien-da alla necessità di dotarsi di uno stru-mento per pianificare interventi di ma-nutenzione non solamente finalizzatialla risoluzione dell’emergenza (adesempio linea interrotta, pali non fun-zionanti, ecc…), ma anche volti ad unaottimizzazione di linee di illuminazio-

� Il Mestiere del Valutatore � 27tteemm

aaRiccardo VisinoniEnergy Manager e auditor sistemi 50001 CEO c/o SATEC CONSULTING

>>

Un'opportunità nella P.A.

Audit energeticoe iso 50001


ne pubblica, in alcuni casi realizzateanche 40 prima. L’azienda decide pertanto di riunire unteam di tecnici che si occupi dell’auditenergetico (analisi energetica), lavoroche viene sviluppato dal gruppo nel-l’arco di 2 anni e mezzo e che vede ilsuo punto di partenza nel censimentodi tutte le linee di illuminazione pre-senti nel territorio comunale. Tale cen-simento ha portato all’identificazionein prima battuta di tutti i corpi illumi-nanti presenti su ciascuna via; è statofotografato ogni singolo palo, catalo-gando ciascun corpo illuminante, lam-pade utilizzate e gli eventuali compo-nenti elettrici ed elettronici che caratte-rizzavano i singoli pali e linee elettri-che, come ad esempio la presenza diriduttori di potenza.Tale lavoro ha portato ad una primaidentificazione di tutte le linee “non anorma”, ovvero non conformi a quantoprestabilito dalla legge della RegioneVeneto del 7 agosto 2009 n. 17 recante“Nuove norme per il contenimentodell’inquinamento luminoso, il rispar-mio energetico nell’illuminazione peresterni e per la tutela dell’ambiente edell’attività svolta dagli osservatoriastronomici”. Ciò a comportato quindiuna nuova programmazione delle ma-nutenzioni da effettuare su tali linee,orientate questa volta alla sostituzionedei corpi illuminanti, con altri confor-mi a quanto previsto dalle leggi regio-nali vigenti e finalizzate ad un conteni-mento dei consumi energetici a paritàdi resa e di garanzia di sicurezza pergli automobilisti.Il documento prodotto in seguito a talecensimento è conforme a quanto previ-sto dall’articolo 5 della Legge Regiona-le 17/2009, che individua tra i compitidei Comuni, quello di dotarsi del “PIA-NO DELL’ILLUMINAZIONE PER ILCONTENIMENTO DEL’INQUINAMEN-TO LUMINOSO (PICIL)”, atto comuna-le di programmazione per la realizza-zione dei nuovi impianti di illumina-zione e per ogni intervento di modifi-ca, adeguamento, manutenzione, sosti-tuzione ed integrazione sulle installa-

zione di illuminazione esistenti nel ter-ritorio comunale, con gli obiettivi dicontenimento dell’inquinamento lumi-noso per la valorizzazione del territo-rio, la qualità della vita, la sicurezzadel traffico e delle persone ed il rispar-mio energetico.La contestuale pubblicazione della nor-ma UNI CEI EN 16001:2009 ha creatoi presupposti per rendere il PICIL unostrumento non più fine a se stesso, vi-sto come mero adempimento legislati-vo, ma come base di partenza percreare un sistema di controllo e moni-toraggio continuo dei consumi energe-tici.Lo sviluppo del sistema ha evidenziatocome fosse fondamentale la fase dicontrollo operativo ed in particolar mo-do la progettazione di nuove linee diilluminazione pubblica e la program-mazione delle manutenzioni. La dia-gnosi/analisi degli aspetti energetici ini-ziali ha concentrato l’attenzione sull’e-videnziare le linee maggiormente ener-givore rispetto a quelle più efficienti,fissando parametri standard di consu-mo da prendere come riferimento ecreare pertanto la “baseline” previstaanche dalla norma ISO 50001.Tale baseline è stata presa come riferi-mento anche per lo sviluppo di un do-cumento programmatico che contenes-se una serie di regole e linee guida darendere disponibili ai progettisti, affin-ché tutte le nuove linee di illuminazio-ne pubblica rispettassero un determina-to standard, non solo qualitativo, maanche energetico.Ovviamente la diagnosi energetica hatenuto conto anche dei consumi ener-getici dovuti ad altre fonti, come adesempio il gasolio per i mezzi azienda-li e il gas metano per il riscaldamentodella sede operativa, evidenziando co-munque come l’area, non solo a mag-gior impatto in termini numerici, maanche in termini di possibilità di effi-cientamento fosse proprio quella con-cernente l’illuminazione pubblica.La realizzazione di un processo di dia-gnosi energeticaLa realizzazione di un processo di dia-

gnosi energetica, conforme a quantoprevisto dalla norma UNI 11428, hacomportato anche l’analisi di possibiliinterventi di miglioramento, fra questi èstato sperimentato l’utilizzo delle ondeconvogliate su un paio di linee di illu-minazione, in particolare utilizzandotale sistema su una via del centro stori-co, area a carattere residenziale, e unadel lido, zona a carattere prettamenteturistico. Tale confronto ha portato adevidenziare pregi e difetti di tale siste-ma in zone con caratteristiche di illu-minazione completamente diverse.L’utilizzo di tale tecnologia ha compor-tato sperimentazioni con accensioni di-versificate a seconda del periodo del-l’anno, programmazione di dimeraggioa seconda della luminosità esterna edin base alle esigenze, oltre a permette-re un controllo puntuale, da remoto, ditutta la linea, con possibilità di discre-tizzazione dei guasti per singolo palo eanche con possibilità di anticipare pos-sibili interventi di manutenzione, an-dando a monitorare parametri di ten-sione e corrente di ogni corpo illumi-nante.Una corretta programmazione dellemanutenzioni, supportata da un moni-toraggio costante dei dati rilevati, l’uti-lizzo di nuove tecnologie di gestionedelle linee di illuminazione, la predi-sposizione di linee guida per una cor-retta progettazione di nuove lottizza-zioni, ha portato tra l’anno 2009 e2010 ad avere una diminuzione deiconsumi del 20% a fronte di un au-mento del 30% del numero di corpi il-luminanti. Ciò ha permesso all’azienda di effet-tuare investimenti, in particolare con isoldi risparmiati, è stato deciso di rea-lizzare nel 2012, un impianto fotovol-taico che permetterà all’azienda, grazieagli incentivi del conto energia e allavendita dell’energia prodotta, di inve-stire in efficienza energetica, creandoun ulteriore volano e aumentando il ri-sparmio sui costi di gestione delle lineedi illuminazione pubblica.Un mero adempimento legislativo si ètrasformato in uno strumento di pun-



tuale analisi, controllo e monitoraggiodei consumi energetici, volto al conti-nuo miglioramento. Lo sviluppo di un sistema di gestionesecondo l’attuale standard ISO 50001ha portato l’azienda e i suoi lavoratoriad avere maggior consapevolezza inmerito ai consumi energetici, portandoogni giorno ad alzare l’asticella dei tra-guardi ed obiettivi da raggiungere.Traguardi ed obiettivi che sono stati af-finati anche grazie ad un puntuale epreciso audit UNI CEI EN 16001:2009che, grazie alla competenza del Lead-auditor, ha portato ad evidenziare po-tenziali fonti di miglioramento, alla lu-ce del § 3.3.3 della norma e non emer-se durante la fase di diagnosi/ analisidegli aspetti energetici. In questa spe-cifica fase, trasversale alla gestioneaziendale, è emerso come sia importa-te interloquire con figure professionalicompetenti e riconosciute.L’audit di certificazione è stato condot-to principalmente ponendo attenzionealle due fasi principe della norma, ov-vero il controllo operativo (§ 3.4.6), fa-

se cruciale dell’attuazione e che rac-chiude in se il cuore del sistema, per-mettendo di avere sempre sotto osser-vazione ogni fase di lavoro e quindiogni occasione di potenziale risparmio,e il monitoraggio, (§ 3.5.1) fase chepermette di analizzare “a mente fred-da” i dati acquisiti e di poter program-mare in base ai risultati gli interventifuturi per l’ottimizzazione dei consumi.Un controllo operativo in grado di ga-rantire dalla progettazione alla realiz-zazione degli interventi un ciclo ener-geticamente efficiente, un monitorag-gio condotto con analisi analitica deidati acquisiti ha permesso all’aziendadi tradurre in occasione di risparmioenergetico ed economico, un adempi-mento legilativo.Quelli che prima venivano visti comecomportamenti virtuosi, sono diventatioggi comune operatività, dimostrandocome un efficace comunicazione e uncostante coinvolgimento ed informa-zione di tutte le persone interessate avario titolo nell’azienda, comporti unamaggiore consapevolezza di quanto si

possa fare anche con gesti banali comequello di spegnere la luce all’interno diuna stanza o chiudere una finestra sel’impianto di condizionamento è infunzione.La corretta programmazione, l’analisi eil monitoraggio dei dati misurabili, hacomportato una maggiore puntualitànelle operazioni di manutenzione, di-minuendo nel tempo i casi di disservi-zio e aumentando l’efficienza energeti-ca.La politica del continuo miglioramentoha fatto sì che anche nel 2011 vi fosseuna diminuzione dei consumi a frontedi un aumento delle linee in carico allaJesolo Patrimonio, dimostrando comefra tutti, il sistema di gestione secondolo standard internazionale ISO 50001,pur non essendo ancora ufficialmenteraggiunto all’atto della scrittura del pre-sente articolo, sia veramente uno stru-mento efficace per il risparmio non so-lo energetico, ma anche economicodelle aziende, in particolare nella Pub-blica Amministrazione dove gli sprechisono all’ordine del giorno.

� Audit energetico e iso 50001 �29

tteemmaa

IINN 22 GGIIOORRNNII UUNNAA PPRROOFFEESSSSIIOONNAALLIITTAA’’ CCOOMMPPLLEETTAA EE RRIICCOONNOOSSCCIIUUTTAAMutano gli scenari, cambiano le esigenze. L’evoluzione del mondo aziendale richiede competenze aggiornate.

Dopo 20 anni nasce il NUOVO corso di Auditor al passo coi tempi.

www.executiveauditor.itcorso riconosciuto n. 46 da AICQ-SICEV

Seguici su

IILL CCOORRSSOO CCHHEE PPUUNNTTAA SSUULL VVAALLOORREE PPRROOFFEESSSSIIOONNAALLEEIl corso Executive Auditor è uno stimolo per gli attori del mondo della certificazione a conoscere e sfruttare nuovi strumenti orga-nizzativi e competenze economico-finanziarie. Si avvale di un innovativo metodo per individuare processi ed obiettivi ed un effi-cace sistema di insegnamento pratico, testato da anni di esperienza sul campo. Il percorso formativo, della durata di due giorni, siarticola in diversi moduli di insegnamento studiati per approfondire, con semplicità ed esempi, le seguenti tematiche:� Come instaurare un dialogo veloce ed efficace con le direzioni.� Come applicare l’approccio per processi e la gestione per obiettivi.� Costruire una metodologia: strategie, strumenti, esempi concreti, risultati.� Saper interpretare gli indicatori economico-finanziari nei sistemi di gestione.� Conoscere la normativa (9004-10014-31000).� Esercitazioni pratiche con tools sw: Strategie, SWOT, mappature processi, indicatori con simulazioni e scenari di bilanci riclassificati.� Test finale.

LE PROSSIME EDIZIONI DEL 2012 *

24/25 Settembre ROMA - 25/26 Ottobre ANCONA - 22/23 Novembre BOLOGNA - 18/19 Dicembre MILANO*Minimo 10 partecipanti, consultare il sito per le iscrizioni


Ad oltre dieci anni dalla sua entratain vigore, Il Decreto Legislativo 8giugno 2001 n. 231, emanato in

attuazione della delega di cui all’art. 11della Legge n. 300/2000 e recante la“Disciplina della responsabilità ammini-strativa delle persone giuridiche, dellesocietà e delle associazioni anche privedi personalità giuridica”, non ha esauritol’enorme portata innovativa che consen-te di inquadrarlo come una svolta epo-cale nell’ordinamento giuridico italiano.L’estensione dell’elenco dei reati presup-posto ai cosiddetti “eco-reati”, di cui sidirà nel seguito, è infatti solo l’ultima, at-tesa modifica di un provvedimento i cuicontenuti si sono andati progressivamen-te delineando nell’esperienza giurispru-denziale, di pari passo con un costanteampliamento della sua sfera applicativa. Nel recepire atti e convenzioni interna-zionali, l’ormai noto “Decreto 231” haintrodotto un regime di responsabilitàamministrativa dell’Ente (da intendersicome società di persone o di capitali, as-sociazione riconosciuta o non ricono-sciuta, consorzio, ecc.), per taluni reaticommessi nel suo interesse o vantaggiodai seguenti soggetti: � persone fisiche che rivestano funzio-ni di rappresentanza, di amministra-zione o di direzione dell’Ente o diuna sua unità organizzativa dotata diautonomia finanziaria e funzionale,nonché da persone fisiche che eser-

citino, anche di fatto, la gestione e ilcontrollo dell’Ente (c.d. soggetti“apicali”);

� persone fisiche sottoposte alla dire-zione o alla vigilanza di uno deisoggetti sopra indicati (c.d. “sotto-posti”).

Nella creazione di tale paradigma, checostituisce l’espressione di una scelta dipolitica criminale divenuta inevitabile afronte del forte incremento dei c.d. “whi-te collar crimes” e dei fenomeni d’illega-lità d’impresa in generale, il legislatoreha tuttavia dovuto considerare l’ostacoloderivante da uno dei principi fondamen-tali del nostro ordinamento penale, san-cito dall’art. 27 della Costituzione, se-condo cui “La responsabilità penale èpersonale”; la soluzione adottata è stataquindi quella di creare una nuova formadi responsabilità, un tertium genus che,come illustrato nella Relazione Ministe-riale di accompagnamento al Decreto,“coniuga i tratti essenziali del sistemapenale e di quello amministrativo”.L’elenco dei reati presupposto da cui di-scende la suddetta responsabilità, ini-zialmente limitato a poche fattispecie,comprende oggi un numero elevato d’il-leciti, tra i quali: reati di indebita perce-zione di erogazioni e truffa in danno del-lo Stato o di un ente pubblico, delitti in-formatici, delitti di criminalità organizza-ta, concussione e corruzione, falso num-mario, delitti contro l’industria e il com-

mercio, reati societari, delitti con finalitàdi terrorismo o di eversione dell’ordinedemocratico, delitti contro la personalitàindividuale, abusi di mercato, omicidiocolposo o lesioni gravi o gravissimecommesse con violazione delle normesulla tutela della salute e sicurezza sullavoro, ricettazione e riciclaggio, delittiin materia di violazione del diritto d’au-tore, induzione a non rendere dichiara-zioni o a rendere dichiarazioni mendaciall’autorità giudiziaria e reati ambientali.Il regime sanzionatorio introdotto dalDecreto 231 prevede l’applicazione disanzioni pecuniarie (comminate con unsistema per quote) e interdittive; questeultime consistono nella sospensione orevoca di licenze e concessioni, nel di-vieto di contrarre con la pubblica ammi-nistrazione, nell’interdizione dall’eserci-zio dell’attività, nell’esclusione o revocadi finanziamenti e contributi, nel divietodi pubblicizzare beni e servizi.Sono inoltre previste la confisca del pro-fitto del reato e la pubblicazione dellasentenza di condanna.Nell’articolare la disciplina della respon-sabilità amministrativa degli Enti, il De-creto 231 introduce anche una circo-stanza esimente: l’Ente non risponde nelcaso in cui dimostri di aver adottato edefficacemente attuato, prima della com-missione del fatto, “modelli di organiz-zazione e di gestione idonei a prevenirereati della specie di quello verificatosi” (i

� Nuovi Sistemi di Gestione e D.Lgs 231 �tteemm

aaClaudio ProvettiDirettore Funzione Sistemi di Gestione e Sicurezza ICT c/o IMQ S.p.A.Laura CatellaniAssistenza Tecnica Funzione Sistemi di Gestione e Sicurezza ICT c/o IMQ S.p.A.La disciplina della responsabilità

amministrativa degli enti ex D. Lgs. 231/2001

>>

31

D.Lgs 231/2001 e reati ambientali


c.d. “Modelli 231”) e se “il compito divigilare sul funzionamento e l’osservan-za dei modelli di curare il loro aggiorna-mento è stato affidato a un organismodell’ente dotato di autonomi poteri diiniziativa e di controllo”; la disciplinadell’onere della prova varia in funzionedella posizione rivestita dall’autore delreato (apicale o sottoposta).Come previsto dall’art. 6 comma 2 delDecreto, i Modelli di Organizzazione edi Gestione - che possono essere adottatisulla base di codici di comportamentoredatti dalle associazioni rappresentativedegli Enti -devono rispondere alle se-guenti esigenze:� individuare le attività nel cui ambitopossono essere commessi reati;

� prevedere specifici protocolli direttia programmare la formazione e l’at-tuazione delle decisioni dell’Ente inrelazione ai reati da prevenire;

� individuare modalità di gestionedelle risorse finanziarie idonee adimpedire la commissione dei reati;

� prevedere obblighi di informazionenei confronti dell’organismo deputa-to a vigilare sul funzionamento el’osservanza dei modelli;

� introdurre un sistema disciplinareidoneo a sanzionare il mancato ri-spetto delle misure indicate nel mo-dello.

Va sottolineato che la previsione dellapossibilità, per l’Ente, di dimostrare lapropria estraneità all’episodio criminosotramite l’adozione ed applicazione di ta-li modelli organizzativi adeguati alla pre-venzione dei reati, e cioè volti ad impe-dire la commissione di illeciti tramitespecifiche regole di condotta, rappresen-ta una scelta fondamentale ed innovativada parte del legislatore italiano, che traespunto – come si legge nella Relazioneministeriale - dall’esperienza dei compli-ance programs statunitensi.Nelle Linee Guida Confindustria (cherappresentano uno dei Codici di Com-portamento più noti), i Modelli 231 ven-gono infatti descritti come strumenti diprevenzione del rischio di commissionedei reati tramite individuazione dellearee (o processi) sensibili e attivazione di

un idoneo sistema di controllo; inquest’ottica, l’implementazione del Mo-dello 231 può essere assimilata all’attiva-zione di un Sistema di Gestione dei Ri-schi.In merito all’opportunità di adozione ditali sistemi di governance, va osservatoche - pur non potendosi individuare nel-le disposizioni del Decreto un obbligogiuridico in tal senso – i Modelli rappre-sentano l’unica condizione esimente perl’Ente, qualora venga accertata la com-missione di un reato rilevante ai fini del-la responsabilità amministrativa. Si consideri inoltre che, secondo una re-cente pronuncia giurisprudenziale (cfr.Trib. Milano, sent. 13 febbraio 2008, n.1774), l’amministratore delegato di unasocietà che non adotta un adeguato pro-gramma di compliance 231 viola i dove-ri derivanti dal proprio mandato ed è re-sponsabile di mala gestio e deficit orga-nizzativo nei confronti della società.L’Organo giudicante ha infatti ritenutoche in capo agli amministratori, nell’am-bito del dovere di agire con “la diligenzarichiesta dalla natura dell’incarico e dal-le loro specifiche competenze” (art.2392, primo comma, Codice civile), sus-sista anche l’obbligo di valutare il rischiodi compimento reati ex Decreto 231,onde accertare la necessità di istituirepresidi per la relativa prevenzione; inmancanza, essi sono esposti all’eserciziodell’azione di responsabilità da partedella società, per i danni derivati dall’ap-plicazione di sanzioni.

I reati ambientali nel D.Lgs. 231/2001: rischi e strumenti di prevenzioneIl D. Lgs. 121/2011, entrato in vigore il16 agosto 2011, ha ampliato il catalogodei reati-presupposto del Decreto 231con l’introduzione dell’art. 25-undecies,rubricato Reati ambientali. L’estensione della responsabilità deglienti ai reati in materia di ambiente, giàcontemplata dal legislatore delegantenella L. 300/2000, è avvenuta con il re-cepimento della Direttiva 2008/99/CEdel Parlamento europeo e Consiglio sullatutela penale dell’ambiente.

In tema di responsabilità d’impresa, laDirettiva ha vincolato gli Stati membri adintrodurre nel proprio ordinamento la re-sponsabilità delle persone giuridiche perreati ambientali, prevedendo sanzioni ef-ficaci, proporzionate e dissuasive.In particolare, il legislatore comunitarioha evidenziato che l’unico strumentoidoneo a garantire la piena osservanzadella normativa in materia di tuteladell’ambiente è la disponibilità di san-zioni penali, in quanto esse sono indicedi una riprovazione sociale di naturaqualitativamente diversa rispetto allesanzioni amministrative o ai meccanismirisarcitori di diritto civile.Nel recepire quanto previsto nella Diret-tiva europea, il Decreto 121 non ha peròoperato, come molti si attendevano, unariforma organica del diritto penale del-l’ambiente, che quantomeno accorpassele violazioni più gravi all’interno di un ti-tolo dedicato del codice. A parte l’introduzione delle due nuovefattispecie contemplate agli artt. 727-bis(Uccisione, distruzione, cattura, prelie-vo, detenzione di esemplari di specieanimali o vegetali selvatiche protette) e733-bis (Distruzione o deterioramento dihabitat all’interno di un sito protetto) delcodice penale, il Decreto ha infatti la-sciato sostanzialmente inalterata la pree-sistente configurazione dei reati ambien-tali per le persone fisiche, limitandosi aprevedere – in alcuni casi – anche la re-sponsabilità degli Enti. Gli illeciti ambientali richiamati dall’art.25-undecies quali reati-presupposto perla responsabilità amministrativa degli En-ti sono molteplici e derivano da diversefonti normative. In particolare, oltre alledue nuove fattispecie sopra menzionate,essi comprendono:� violazioni in materia di rifiuti, bonifi-che, scarichi idrici, emissioni in at-mosfera (previsti nel T.U. AmbienteD.Lgs. 152/2006);

� reati relativi al commercio specieanimali e vegetali in via di estinzio-ne, ed alla commercializzazione edetenzione di esemplari vivi dimammiferi e rettili che possono co-stituire pericolo per la salute e l’in-

� Nuovi Sistemi di Gestione e D.Lgs 231 �32tteemmaa


columità pubblica (L. 150/1992); � violazione delle norme sulla cessa-zione e riduzione dell’impiego disostanze lesive dell’ozono (L.549/1993);

� disposizioni relative all’inquinamen-to provocato da navi (D. Lgs.202/2007).

Alcune delle scelte compiute dal legisla-tore nella selezione dei reati ambientaliche determinano la responsabilità exDecreto 231 sono state oggetto di criti-ca: si consideri, ad esempio, che il delit-to di avvelenamento delle acque desti-nate all’alimentazione (di cui agli artt.439 e 452 del codice penale) è statoescluso dall’art. 25-undecies, nonostantesiano evidentemente riscontrabili in talefattispecie le caratteristiche di pericolosi-tà per la salute pubblica richiamate, co-me criteri di scelta delle condotte san-zionabili, dalla Direttiva comunitaria. Tra le considerazioni di carattere genera-le, è stato invece osservato che l’area diresponsabilità degli Enti non è stata cir-coscritta agli illeciti ambientali effettiva-mente lesivi di beni giuridici e caratteriz-zati da un evento di danno o di pericoloconcreto, come indicato dal legislatorecomunitario, ma estesa anche a viola-zioni di natura meramente formale.Quest’ultima circostanza determina sen-za dubbio un maggior rischio per le im-prese; per la prevenzione dei reati di cuiall’art. 25-undecies, queste ultime do-vranno quindi valutare attentamente talerischio e prevedere, all’interno dei propriModelli Organizzativi, strumenti tecnici

e gestionali (misure progettuali, proce-durali, informative, ecc.) adeguati ad as-sicurare che l’esecuzione della propriaattività avvenga nel rispetto delle dispo-sizioni previste dalla legislazione am-bientale.In materia di Salute e Sicurezza sul La-voro, il T.U. Sicurezza D. Lgs. 81/2008ha fornito indicazioni in merito agli stan-dard ritenuti idonei per la costruzionedei Modelli 231: l’art. 30 del stabilisceinfatti una presunzione di conformità, insede di prima applicazione, per i “mo-delli definiti conformemente alle Lineeguida UNI-INAIL per un sistema di ge-stione della salute e sicurezza sul lavoro(SGSL) del 28 settembre 2001 o al Bri-tish Standard OHSAS 18001:2007”. In tema di prevenzione dei reati am-bientali, il legislatore non ha invece ci-tato alcun riferimento normativo perl’implementazione del Modello, sebbe-ne vi fossero forti istanze in tal senso daparte delle Associazioni rappresentativedegli Enti; nelle Osservazioni allo sche-ma del decreto 121/2011, Confindu-stria richiedeva di formulare un espres-so richiamo alla norma ISO 14001 e alRegolamento EMAS, sulla base dellaconsiderazione che “anche in materiaambientale esistono norme tecniche estandard internazionali che certificanola corretta realizzazione di un sistemadi gestione ambientale e che rappre-sentano un importante punto di riferi-mento per le imprese ed un ausilioconcreto per la costruzione dei modelliorganizzativi”.

Nonostante l’omessa indicazione, nelDecreto 121, di standard validi per laprevenzione dei reati ambientali, il con-tributo offerto in generale dai Sistemi diGestione ai fini dell’implementazione edattuazione dei Modelli organizzativi exD.Lgs. n. 231/2001 e, più in generale,per una corretta governance aziendale, èormai ampiamente riconosciuto. Si con-sideri ad esempio quanto stabilito, inmateria di riduzione dei controlli per leimprese certificate, dall’art. 14 comma 4lett. f) del decreto-legge 9 febbraio 2012,n. 5 convertito con modifiche dalla L. 4aprile 2012, n. 35.Relativamente ai sistemi di gestione am-bientale, in particolare, va rammentatoche la norma ISO 14001:2004 rappre-senta uno strumento con cui un’Orga-nizzazione tiene sotto controllo le pre-stazioni ambientali delle proprie attività,ivi compresa l’osservanza delle disposi-zioni legislative applicabili, e si impegnain modo sistematico a migliorarle; essacostituisce quindi un utile strumento an-che per la prevenzione dei reati ambien-tali e della responsabilità amministrativad’impresa ex art. 25-undecies del Decre-to 231.Trascorso meno di un anno dall’entratain vigore del D. Lgs. 121/2011, sono og-gi disponibili numerosi studi relativi a si-nergie e parallelismi tra i requisiti deiModelli 231 e quelli dei Sistemi di Ge-stione Ambientale secondo ISO 14001, ele forme di integrazione sono sempre piùdiffuse nelle imprese che scelgono di do-tarsi di tali moduli organizzativi.La breve analisi e il sintetico tracciatoevolutivo dell’impianto legislativo in ma-teria di reati ambientali dovrebbero esse-re letti come stimoli e richiami all’atten-zione da porre nell’inquadrare il proprioSistema Azienda come un contenitore,ancorché di forma definita, di volumevariabile in continua espansione: di fattoun sistema aperto, che recepisce forzosa-mente tutti gli input derivanti in primisdall’ordinamento giuridico in evoluzio-ne, e contestualmente dagli standard ap-plicabili che, pur di adozione volontaria,diventano sempre più spesso un riferi-mento per il legislatore.

� D.Lgs 231/2001 e reati ambientali �33

tteemmaa

� Gestione dei rischi �


tteemmaa

La gestione dei rischi nelle imprese: un quadro di riferimentoL’attività di impresa è, per sua natura,inevitabilmente esposta a rischi di varianatura e impatto: dai rischi di livello stra-tegico (Strategic Risk Management), airischi di natura gestionale e operativa(Enterprise Risk Management), fino ai ri-schi, sempre più rilevanti, connessi allaconformità legislativa (Compliance RiskManagement).Una attenta gestione dei rischi, pertanto,non può che essere parte integrante deiprocessi decisionali delle imprese e dellealtre tipologie di organizzazioni.La gestione consapevole e matura deirischi, infatti, contribuisce a creare va-lore e a generare vantaggi competitivi;per contro una gestione non adeguataespone l’impresa a perdite potenziali,con conseguente distruzione di valore eindebolimento dei suoi vantaggi com-petitivi.Si osserva tuttavia che, sebbene la gestio-ne dei rischi non sia concettualmentenuova, negli ultimi decenni essa ha regi-strato notevoli progressi, sia in termini diapprocci, sempre più rigorosi, sia sottol’aspetto degli strumenti disponibili peraffrontare i diversi rischi in modo più ef-ficace.La gestione dei rischi, pertanto, semprepiù estende l’ambito di analisi a tuttal’organizzazione, sviluppando una nuo-

va consapevolezza, anche recependostimoli o pressioni esterne.La gestione dei rischi, infatti, è parte inte-grante di una attenta Corporate Gover-nance: è responsabilità dei vertici azien-dali assicurare che i rischi siano adegua-tamente valutati, affrontati e monitorati.E’ superato ormai da tempo l’approcciotradizionale al risk management, ini-zialmente concentrato sulla gestionedei rischi finanziari (approccio deglianni settanta, con la nascita di alcunistrumenti di copertura dei rischi finan-ziari – hedging – con diversi tipi di tito-li derivati: opzioni e, successivamente,future e swap, anche in combinazionetra di loro, aventi ad oggetto prima levalute, poi i tassi di interesse, i titoliazionari, i crediti, i prezzi delle com-modity, in una progressiva espansionedei rischi da coprire, poi da trasferire,infine da negoziare con finalità specu-lative, anche attraverso complessi stru-menti finanziari strutturati).La gestione avanzata dei rischi d’impresa(che comprendono i rischi finanziari) ri-chiede infatti una visione olistica dell’in-tera organizzazione, delle sue strategie edei suoi processi, delle sue relazioni congli stakeholder e con l’ambiente compe-titivo; richiede inoltre una conoscenzaapprofondita del macroambiente in cuil’impresa opera, includendovi il com-plesso ed ampio spettro di normative co-genti applicabili.

Cecilia de PalmaPresidente del Comitato AICQ “Normativa e Certificazione dei SGQ”

Gaetano MacarioProfessore a c. di Strategie e gestione aziendale Univ. Bari

Strategic RiskManagement: un nuovoapproccio aziendale alla gestione dei rischiStrutturare e gestire dinamicamente ilportafoglio dei rischi aziendali, secondoun approccio integrato alla gestione del-le diverse tipologie di rischio che un’im-presa deve affrontare, diventa un princi-pio organizzativo alla base delle sceltestrategiche.La gestione strategica dei rischi, pertan-to, può essere considerata una variabileaziendale a larga diffusione, che permeadi sé il processo decisionale ad ogni li-vello organizzativo, con l’obiettivo difondo di creare valore e difendere i van-taggi competitivi, in coerenza con lestrategie perseguite sia a livello corpora-te sia a livello di business unit o strategiecompetitive.Perché questo accada, non basta istituireuna funzione aziendale con la figuraspecialistica del Risk Manager o respon-sabilizzare i manager esercitando uncontrollo centralizzato.Tale contrapposizione, infatti, esalta l’a-spetto della vigilanza e non aiuta a dif-fondere il concetto di rischio come va-riabile gestionale, con un corretto ap-proccio diffuso alla gestione del rischio.Per cogliere pienamente i benefici dellamoderna gestione dei rischi, le impresedovrebbero sviluppare la consapevolez-za che i rischi non sono di per sé “positi-

>>

La gestione dei rischi strategici,operativi e di conformitàlegislativa: un quadro diriferimento per una prospettivadi integrazione, quale driver perla creazione del valore

34

Strategic Risk Management:verso un approccio integrato


vi” o “negativi”: un’impresa può decide-re di mantenerne alcuni, perché funzio-nali alla strategia e nel contempo sonogestibili. I rischi al di fuori della portatadell’impresa (non gestibili) dovrebberoinvece essere “immunizzati” attraversoopportuni strumenti di protezione e co-pertura o trasferiti all’esterno.La diffusione di questa mentalità richie-de la collaborazione di tutte le figureaziendali coinvolte nei processi decisio-nali, per assicurare che abbiano unaconsapevolezza precisa dei rischi chel’impresa vuole mantenere per persegui-re la propria strategia.Il decision making ad ogni livello orga-nizzativo, pertanto, dovrebbe essere fon-dato su un atteggiamento mentale co-erente e su pratiche appropriate di ge-stione del rischio.Le imprese che sapranno adottare questamentalità e i corrispondenti sistemi perorientare le proprie decisioni strategicheavranno maggiori chance di garantirsi unvantaggio competitivo rispetto ai compe-titor meno maturi sotto il profilo dellagestione del rischio.Le scelte relative alla gestione dei rischi,pertanto, dovrebbero essere guidatedall’obiettivo di minimizzare i pericoli edi massimizzare le opportunità, assu-mendo i “giusti” rischi, evitando sia lesovraesposizioni al rischio e sia le ecces-sive misure di protezione o di assicura-zione contro i rischi: sono le strategieaziendali che determinano, in ultimaanalisi, una razionale propensione al ri-schio.Un approccio maturo alla gestione delrischio comporta l’adozione di una cor-retta mentalità e cultura del rischio, dif-fusa in tutta l’organizzazione.Inoltre comporta l’adozione di un pro-cesso strutturato di Risk Management,in un ciclo dinamico, con alcuni stepfondamentali:1. identificare i principali rischi azienda-

li (attuali e futuri), analizzare i relativiimpatti potenziali e valutare la loro ri-levanza, anche in relazione ai proba-bili sviluppi degli scenari e ai diversiesiti possibili;

2.valutare e decidere quali rischi man-

tenere (in quanto strettamente correla-ti a vantaggi competitivi, oltre ad esse-re gestibili) e quali rischi trasferireall’esterno;

3.determinare la capacità e la propen-sione al rischio;

4. incorporare il rischio in ogni decisio-ne e processo, facendo in modo chele decisioni critiche vengano presecon una chiara visione di come essepossono modificare il profilo di rischiodell’azienda e assicurando nel con-tempo che i processi fondamentali sia-no gestiti in piena coerenza con l’ap-proccio aziendale al rischio;

5.allineare la governance, le strutture,le risorse e i sistemi organizzativi at-torno al rischio, facendo in modo chel’organizzazione aziendale nel suocomplesso consenta di monitorare egestire efficacemente i rischi che ven-gono assunti.

Risk Management e Internal Auditing:l’approccio del COSOUna componente fondamentale di un ef-ficace risk management di un’organizza-zione è costituita dal suo sistema di con-trollo interno.Un importante modello di riferimentoper progettare e implementare un ido-neo sistema di controllo interno per lagestione dei rischi è rappresentato dal-l’Internal Control – Integrated Frame-work, elaborato dal Committee of Spon-soring Organization of Treadway Com-mission (COSO), noto come COSO Re-port.Pubblicato per la prima volta nel 1992,il COSO Report è riconosciuto ancoraoggi come un punto di riferimento moltoautorevole, sia dal punto di vista scienti-fico che per l’aspetto pragmatico che locaratterizza. E’ stato assunto come riferi-mento in tutto il mondo per la valutazio-ne dei sistemi di Internal Auditing (ancheda normative riguardanti le società quo-tate in borsa) e per successive riflessionied elaborazioni sul tema.Il Committee of Sponsoring Organiza-tion (COSO) è nato a metà degli anniottanta da alcune delle più prestigiose

associazioni professionali americane(quali ad esempio l’Institute of InternalAuditing, l’Institute of Management Ac-countants, l’American Accounting As-sociation, il Financial Executives Inter-national, l’American Institute of Certi-fied Public Accountants ed altre), insie-me con alcune organizzazioni privatedel settore, che istituirono una com-missione di studio, la CommissionTreadway (assumendo il nome dal suopresidente), con lo scopo di elaborareun modello di riferimento ed una guidaper i sistemi di controllo interno (Inter-nal Auditing), per la deterrenza dallefrodi (Fraud Deterrence) e per la gestio-ne dei rischi aziendali (Enterprise RiskManagement).Il COSO Report indica tre tipologie diobiettivi fondamentali di un sistema diinternal auditing:� operations: obiettivi di efficacia e diefficienza delle attività operative;

� financial reporting: obiettivi di at-tendibilità delle informazioni di bi-lancio e dei reporting finanziari;

� compliance: obiettivi di conformitàalle leggi e ai regolamenti in vigoredei comportamenti riferibili all’a-zienda.

Il COSO Report prevede cinque compo-nenti fondamentali di un Sistema diControllo Interno:1)Control Environment (ambiente di

controllo)E’ un elemento fondamentale della cul-tura di ogni organizzazione; determinan-do in ultima analisi il livello di sensibilitàalla necessità di controllo.Infatti influenza profondamente il modoin cui le attività sono strutturate, gliobiettivi sono stabiliti, i rischi sono valu-tati.Include fattori fondamentali quali l’inte-grità, l’etica, le competenze, le autorità,le responsabilità e la coerenza nell’orga-nizzazione.Un ambiente di controllo è favorevolead una sana governance quando il per-sonale, a partire dalle posizioni apicali,evidenzia integrità nei comportamenti eimpegno nelle attività di controllo, quan-do le politiche sono coerenti con gli

� Strategic Risk Management: verso un approccio integrato �tteemm

aa35


obiettivi aziendali e quando le procedu-re ne danno una coerente declinazioneoperativa.Per contro, controlli inefficaci, non ade-guata trasparenza nei processi decisiona-li ai diversi livelli organizzativi, insuffi-ciente supervisione e procedure ineffica-ci sono fattori che contribuiscono a dete-riorare l’ambiente di controllo, favoren-do la diffusione di comportamenti con-trari all’etica che compromettono unasana gestione aziendale.2)Risk Assessment (valutazione dei ri-

schi)Il sistema di controllo deve orientare l’at-tenzione del management verso l’indivi-duazione sistematica dei fattori di rischio(risk driver) per il conseguimento degliobiettivi aziendali. I fattori di rischio pos-sono essere insiti nell’ambiente microe-conomico (ambiente competitivo) enell’ambiente macroeconomico, nelcontesto normativo, nelle condizionioperative aziendali, nonché nei loro suc-cessivi e continui mutamenti.Il Risk Assessment implica l’adozione dimetodologie idonee a identificare e va-lutare i rischi, con meccanismi di allertatempestivi.La capacità dell’azienda di identificare,analizzare e valutare i rischi costituiscela base per determinare la qualità del si-stema di controllo interno e il livello diprofondità necessario delle attività di ve-rifica sul sistema stesso.3)Control Activities (attività di control-

lo)Le attività di controllo sono l’insiemedelle politiche e delle procedure che as-sicurano al management l’effettiva appli-cazione delle direttive impartite.Comprendono un ampio spettro di attivi-tà, che spaziano da autorizzazioni e ap-provazioni, a verifiche e riscontri, a mi-sure di protezione degli asset aziendali,a soluzioni organizzative (ad esempio laseparazione di alcune funzioni e l’estra-polazione di alcuni compiti più critici), asistemi di misurazione delle performan-ce.4) Information & Communication (infor-

mazioni e comunicazioni)Le informazioni rilevanti ai fini di gover-

no e controllo devono essere individua-te, rilevate, elaborate e comunicate inmodi e tempi idonei a consentire ai di-versi responsabili di condurre consape-volmente le proprie attività.Il sistema informativo deve essere idoneoa veicolare le informazioni rilevanti siacon approcci top-down e bottom-up, siatrasversalmente nell’organizzazione, siatra l’organizzazione, i suoi stakeholder el’ambiente esterno in generale, con mec-canismi bidirezionali (inclusa la gestioneefficace dei feedback).Questo consente al management e, ingenerale, al personale coinvolto nei pro-cessi decisionali, di fondare le propriedecisioni su informazioni rilevanti, tem-pestive, aggiornate e accurate, a cui po-ter accedere agevolmente.5)Monitoring (monitoraggio)L’adeguatezza del sistema di controllointerno e la qualità delle sue performan-ce devono essere monitorati nel tempo,sia attraverso un’azione di supervisionecontinua, sia effettuando valutazioni pe-riodiche.Le cinque componenti fondamentali delsistema di internal auditing secondol’approccio del COSO Report, sopra bre-vemente delineate, devono essere piani-ficate e gestite in piena sinergia, con unaelevata coerenza, per garantire l’affidabi-lità e l’efficacia del sistema di controllointerno.

Enterprise RiskManagement (ERM): versoun approccio integratoAll’inizio degli anni 2000, a seguito diun crescente interesse per le tematicherelative al Risk Management, il COSOha elaborato un modello di riferimentofondamentale per l’Enterprise Risk Ma-nagement, sviluppando i principi e lemetodologie del COSO Report in unavisione più ampia e integrata del RiskManagement, giungendo alla sua pub-blicazione nel 2004.Il COSO Enterprise Risk Managementrappresenta un modello di riferimentoper valutare, controllare e migliorare ilprocesso di gestione dei rischi di una or-ganizzazione.

Il documento è organizzato in due se-zioni:� COSO ERM Framework;� COSO ERM Application Techniques.Il COSO ERM si fonda sul seguente prin-cipio, che ne costituisce la premessa:ogni organizzazione esiste per fornirevalore ai propri stakeholder.Le imprese devono affrontare l’incertez-za associata alle attività di business; lasfida per il management è di determinareil quantum di incertezza accettabile percreare valore e decidere come gestirel’incertezza per massimizzare la capaci-tà di generare valore.L’ERM consente al management di af-frontare efficacemente l’incertezza, indi-viduando i rischi e le opportunità ad es-sa associate, incrementando la capacitàdell’impresa, o altra Organizzazione, dicreare valore.Il valore è massimizzato quando la stra-tegia e gli obiettivi aziendali sono defini-ti in modo appropriato per conseguireun equilibrio ottimale tra i target di cre-scita e di redditività e i rischi ad essi as-sociati.Le tipologie di obiettivi perseguiti dal si-stema ERM inglobano pertanto anche ladimensione strategica, oltre alle dimen-sioni delle operations, del reporting e dicompliance, già delineate in riferimentoagli obiettivi del COSO Report.Gli obiettivi principali del processo diERM, infatti, sono i seguenti:� allineare la strategia aziendale allapropensione al rischio;

� migliorare le risposte ai rischi indivi-duati;

� contenere gli eventi imprevisti e lerelative perdite potenziali;

� identificare e gestire rischi correlati emultipli;

� cogliere le opportunità di businessassociate ai mutamenti interni edesterni all’impresa;

� migliorare l’utilizzo del capitale in-vestito.

Si riportano di seguito alcuni concettichiave del COSO ERP Framework.Un evento può avere un impatto negati-vo, positivo o entrambi.Il rischio è definito come la possibilità di

� Gestione dei rischi �36tteemmaa


accadimento di un evento che influenzinegativamente la capacità dell’impresadi realizzare gli obiettivi e creare valore.Per opportunità intende la possibilità diaccadimento di un evento che influenzipositivamente la capacità dell’impresa direalizzare i propri obiettivi e di crearevalore.L’Enterprise Risk Management (gestionedel rischio aziendale) è definito come ilprocesso, gestito dalla direzione azien-dale, dal management e da altro perso-nale della struttura aziendale, utilizzatoper la formulazione delle strategie azien-dali in tutta l’organizzazione.Il processo di ERM è progettato per: � individuare gli eventi potenziali cheriguardano l’impresa e possono in-fluire sulla sua attività;

� gestire il rischio nell’ambito di unadeterminata propensione al rischiodell’impresa;

� fornire una ragionevole sicurezza sulconseguimento degli obiettivi azien-dali.

E’ dunque un processo continuo e perva-sivo, che interessa tutta l’organizzazione,ad ogni livello della struttura organizzati-va; è un processo interattivo e multidire-zionale, non strettamente sequenziale.Nel COSO ERM Framework alcuni con-cetti relativi alla gestione del rischio, svi-luppati nel precedente COSO Report,sono ampliati e approfonditi, analizzan-do altresì le relazioni tra la gestione delrischio e la corporate governance, la mi-surazione delle performance e il sistemadi controllo interno.In particolare, il COSO ERM introducealcune componenti specifiche:� Objective Setting (definizione de-

gli obiettivi): il framework indica lanecessità di pianificare quattro ca-tegorie di obiettivi: strategici, ope-rativi, di reporting e dicompliance, congruenti con la pro-pensione al rischio (Risk Appetite)e con la tolleranza al rischio (RiskTolerance). Gli obiettivi devono es-sere fissati prima di procedere all’i-dentificazione degli eventi chepossono potenzialmente pregiudi-care il loro conseguimento;

� Event Identification (identificazio-ne degli eventi): gli eventi poten-ziali, interni ed esterni, che riguar-dano l’impresa possono avere effet-ti positivi (opportunità) o negativi(rischi). L’identificazione deglieventi può essere gestita con nu-merose tecniche. Gli eventi identi-ficati devono essere classificati; oc-corre inoltre identificarne e valutar-ne le interdipendenze.

� Risk Assessment (valutazione dei ri-schi): il management deve valutaregli eventi da due prospettive, ossia laprobabilità di accadimento e l’im-patto, al fine di valutare come devo-no essere gestiti. I rischi vanno valu-tati in termini di rischio inerente (ri-schio in assenza di qualsiasi inter-vento) e di rischio residuo (rischioresiduo dopo aver attuato interventiper ridurlo). Le tecniche di valuta-zione applicabili possono essere ditipo qualitativo o quantitativo.

� Risk Response (risposta ai rischi): letecniche di risposta ai rischi includo-no: l’esclusione delle attività che ge-nerano il rischio; la riduzione del ri-schio mediante una azione opportu-na sulla probabilità di accadimentoo sull’impatto; la condivisione conaltre entità; l’accettazione del ri-schio. Il management, pertanto, sele-ziona le pertinenti risposte ai rischiemersi, sviluppando interventi perallineare i rischi emersi con i livellidi tolleranza al rischio e di rischioaccettabile.

Le altre componenti del COSO ERM,che riprendono sostanzialmente concettichiave del COSO Report, sono le se-guenti:� ambiente interno (di controllo),� attività di controllo,� informazioni e comunicazioni,� monitoraggio.Il Sistema ERM adotta opportuni KeyRisk Indicator (KRI), per fornire al ma-nagement le informazioni necessarieper capire se gli obiettivi strategicichiave si stanno raggiungendo e peridentificare le opportunità di modifica-re le strategie e le tattiche per conse-

guire vantaggi dai cambiamenti nel-l’ambiente, a beneficio dell’organizza-zione e dei suoi stakeholder.

Compliance RiskManagementIl Compliance Risk Management focaliz-za la sua attenzione sui rischi derivantidalla conformità a leggi, norme e regola-menti.Il suo campo di applicazione è in realtàestremamente ampio, con importanti dif-ferenziazioni in relazione alla comples-sità delle attività aziendali e al settore dibusiness in cui opera l’impresa.Si pensi ad esempio alle imprese ope-ranti nel settore finanziario, a cui si ap-plicano rigorose normative specifiche(talvolta in modo poco efficace) e ingenerale, a settori fortemente regola-mentati (aerospaziale, chimico, farma-ceutico ed altri).La consapevolezza che si richiede, tut-tavia, è quella che il Compliance RiskManagement interessa direttamente an-che le imprese operanti in settori menosottoposti a rigide regolamentazionispecifiche, e riguarda direttamente an-che le imprese di piccole dimensioni,spesso prive della necessaria compe-tenza per gestire in modo efficace edefficiente i notevoli rischi a cui sonoesposte, spesso inconsapevolmente,nell’esercizio dell’attività d’impresa.Gli ambiti della conformità legislativa,da cui scaturiscono i relativi rischi (mi-nacce, ma anche opportunità) attengonoai campi della salute e sicurezza dei la-voratori, della tutela dell’ambiente, dellenormative tecniche applicabili al prodot-to/servizio per disciplinarne la dimensio-ne “tangibile” della qualità, ai processiproduttivi, alla supply chain (soprattuttoquando è estesa anche su dimensionetransnazionale) e via di seguito.Una importante dimensione di rischio,inoltre, scaturisce dalla normativa inmateria di responsabilità amministrati-va delle persone giuridiche, società eassociazioni anche prive di responsabi-lità giuridica per reati commessi nelsuo interesse o a suo vantaggio da sog-

� Strategic Risk Management: verso un approccio integrato �37

tteemmaa

continua a pagina 47

cura pertanto la resilienza del sistema in-formativo.

La classificazione dei rischiIn letteratura sono presenti molti criteridi aggregazione; ad esempio, il modelloAIRMIC effettua la seguente classifica-zione, in funzione dei fattori di rischio1:� Rischi Finanziari (fluttuazione deitassi di interesse; fluttuazione deicambi valutari; credito; liquidità eflusso di cassa);

� Rischi Strategici (concorrenza, cam-biamento della clientela, cambia-menti dell’industria, domanda delcliente, integrazioni per fusioni edacquisizioni, ricerca e sviluppo, ca-pitale intellettuale);

� Rischi Operativi (controlli contabili,sistemi di informazione, normative,cultura aziendale);

� Rischi Potenziali (personale, proprie-tà, prodotti, contratti, eventi naturali,fornitori e ambiente).

La figura 1 presenta una classificazioneanaloga alla precedente, con un maggio-re livello di dettaglio.Con l’esclusione dei Rischi Finanziari,governabili tipicamente con l’uso di stru-menti propri del settore, i fattori di ri-schio illustrati in figura 1 possono essereaggregati per modalità di gestione (v. ta-bella 1):Con un approccio integrato “IT SecurityManagement - Business Continuity Ma-

La gestione integratadel portfolio dei rischi aziendali

Domenico FaragliaQuality Manager in Intecs AQ, TQM Assessor

ficarsi di eventi causati da fattori tecnici,umani, economici, politici, finanziari ecommerciali.Si pensi ad esempio alle va-rie cause per cui si può determinare unfermo-macchina in produzione o nell’e-rogazione di servizi e alle conseguenze,a cascata, che ne possono amplificare glieffetti negativi nelle imprese a monte ein quelle a valle.La vulnerabilità a potenziali “disruption”è il risultato di due caratteristiche distintee correlate:� La sicurezza, intesa come capacitàdi una impresa di monitorare e pre-venire possibili fattori di destabiliz-zazione delle proprie attività;

� La resilienza, intesa come capacitàdi una impresa di ripristinare le nor-mali attività a fronte di evento di-rompente.

La prima è una misura statica del rischioe consente di intervenire per ridurre laseverità di un evento o la sua probabilitàdi accadimento tramite azioni di mitiga-zione; la seconda cattura la capacità di-namica dell’impresa di prevenire percor-si critici e ripristinare rapidamente lacondizione di regime, in seguito ad unainterruzione. Ad esempio, il piano di in-tervento emesso a seguito l’analisi dellevulnerabilità di un sistema informativoconsente di prevenire eventuali attacchi,come tale garantisce la sicurezza; ilback-up periodico consente il ripristinodelle funzionalità in caso di guasto, assi-

DefinizioniRischio: L’insieme della possibilità di unevento e delle sue conseguenze sugliobiettivi;Dimensione di rischio: Combinazionedella probabilità di un evento e dell’enti-tà delle sue conseguenze;Fattore di rischio. Elemento in grado diinfluire sulla dimensione del rischio;Vulnerabilità. Mancanza di specifici ele-menti di protezione;Disruption. Evento imprevisto che gene-ra una interruzione delle normali attività,la cui durata ed ampiezza dipendonodalla gravità dell’evento stesso.

IntroduzioneNell’attuale contesto competitivo, le in-terdipendenze all’interno delle catene difornitura impongono alle aziende il mi-glioramento continuo delle prestazioni,la continuità operativa dei processi dibusiness, l’integrità dei dati, la sicurezzadelle informazioni, la capacità di gestireefficacemente i rischi a cui si è esposti.Le aziende devono avere pertanto la ca-pacità di prevenire potenziali impatti ne-gativi sul business e, se necessario, reagi-re rapidamente ad eventi avversi di varianatura, devono cioè avere un’elevata si-curezza e resilienza. In questo ambito, ifattori di rischio sono focalizzati sul sot-toinsieme degli eventi sfavorevoli, equindi, si considerano prevalentemente ipotenziali impatti negativi dovuti al veri-


� Gestione dei rischi �38

>>

tteemmaa

� La gestione integrata del portfolio dei rischi aziendali �

tare efficacemente il fabbisogno fi-nanziario complessivo e di migliora-re l’allocazione del budget disponi-bile sulle attività prioritarie.

L’approccio integrato “IT Security Management - Business Continuity - Risk Management”L’approccio si basa sulla sinergia deiprocessi di gestione delle varie tipologiedi rischio e sull’utilizzo di metodologieriferibili a standard internazionali per va-lutare e trattare i rischi attuali e prospetti-ci a cui l’organizzazione è esposta. Conriferimento a quanto illustrato in figura 4,i processi di gestione sicurezza IT, gestio-ne della continuità operativa e gestionedel rischio consentono di migliorare lasicurezza e la resilienza con il coinvolgi-mento di tutti i livelli aziendali, dalla de-finizione delle strategie alla gestione del-le infrastrutture, includendo altri elemen-

strategiche, fissare i corrispondentiobiettivi e sviluppare i meccanismiper gestire i rischi che ne derivano.

� Riduzione degli imprevisti e delleperdite conseguenti. Le aziende, ac-crescendo la capacità di identificaregli eventi potenziali, di valutare i re-lativi rischi e formulare risposte ade-guate, riducono la frequenza degliimprevisti, e quindi, le eventuali per-dite.

� Miglioramento dell’impiego di capi-tale. L’acquisizione di informazioniaffidabili sui rischi consente di valu-

nagement - Risk Management” un’orga-nizzazione può incrementare i livelli disicurezza e resilienza, ovvero, è in gradodi prevenire un elevato numero di rischi,di affrontare con flessibilità interruzionidi ogni genere e ristabilire con prontezzala normale operatività dei processi di bu-siness.I vantaggi di tale approccio si possonocosì riassumere:� Allineamento della strategia azien-dale al rischio accettabile. Il mana-gement stabilisce il livello di rischiotollerabile per valutare le alternative


tteemmaa

39

Modalità di gestione Portfolio dei rischi aziendali (v. figura 1)IT Security Management Rischi di sicurezza IT

(esclusi incidenti e calamità naturali)Business Continuity Management Rischi potenziali e rischi operativi

(esclusi rischi IT e di gestione fornitori)Risk Management Rischi strategici e gestione fornitori

> Tabella 1 – Aggregazione dei fattori di rischio per modalità di gestione

> Figura 1 – Portfolio dei rischi aziendali (fonte [2] con adattamenti)


ti, quali: organizzazione, gestione dellerisorse umane, processi, applicazioni,dati aziendali e tecnologie.

IT Security ManagementIl processo di gestione del rischio infor-matico mira ad identificare le vulnerabi-lità del sistema, le possibili minacce e larelativa probabilità di accadimento non-ché a stimare i potenziali danni, identifi-care, pianificare e realizzare le possibilicontromisure, documentare il rischio re-siduo. Con riferimento alla norma ISO27001, il processo è suddiviso in una se-quenza ordinata di fasi. 1.Classificazione delle informazioni e

delle risorse informaticheOccorre innanzitutto definire gli ele-menti del patrimonio informativo conun censimento analitico delle informa-zioni contenute nel perimetro d’inter-vento. Ai fini di un’analisi concettualepuò essere sufficiente censire i dati alivello di processo/attività; per unaanalisi operativa è necessario conside-rare gli elementi hardware e softwareutilizzati nel trattamento di dati e in-formazioni. Per ciascun processo/atti-vità occorre valutare i danni per l’a-zienda in caso di perdita di Riservatez-za, Integrità e Disponibilità delle infor-mazioni (e.g. criteri di valutazione SP800-30).

2. Identificazione delle minacce.Una minaccia è un evento potenzialein grado di produrre un danno per l’a-zienda determinato dalla violazionedegli obiettivi di sicurezza. Le caratte-ristiche del sistema informativo e dellestrutture dell’azienda nonché il settoredi attività e le caratteristiche del mo-dello di business concorrono a defini-re l’elenco delle minacce da prenderein considerazione. Dall’Appendicedella norma ISO/IEC 27001 è possibilederivare un elenco completo di mi-nacce a cui attribuire un livello di pro-babilità di accadimento (e.g. criteri de-finiti nella SP 800-30).

Identificazione delle vulnerabilitàLa vulnerabilità è una debolezza intrin-seca del sistema informativo che, qualo-ra si realizzasse una minaccia che la


> Figura 2 – Macro-attività e risultati del processo (v. BS 25999-2))

> Figura 4 – Impatto della resilienza e sicurezza sugli aspetti aziendali


sfrutta, comporta una violazione degliobiettivi di sicurezza. Dall’Appendicedella norma ISO 27001 è possibile deri-vare un elenco di controlli di sicurezza(da “A.5.1.1 Information security policydocument” a “A.15.3.2 Protection of in-formation systems audit tools”) che ope-rano su processi/attività ed attribuire uncorrispondente valore di robustezza (e.g.criteri SP 800-30).Identificazione del livello di rischioL’identificazione del livello di rischio èeffettuata elaborando i risultati prodottinelle fasi precedenti. In termini formali,la dimensione del rischio è la combina-zione dell’entità dell’impatto su riserva-tezza/ integrità/ disponibilità e della pro-babilità di una minaccia rispetto al livel-lo del controllo esercitato sulla vulnera-bilità. Per le misurazioni di tipo qualitati-vo è necessario determinare un sistemache permetta di misurare le due compo-nenti del rischio in modo omogeneo, tra-mite un sistema per livelli opportuna-mente tarato (e.g. criteri definiti nella SP800-30), e quindi, confrontare il valoredel rischio associato ad ogni minacciacon il livello del corrispondente control-lo che lo contrasta. Occorre quindi ricer-care le situazioni in cui il valore del con-trollo è più basso di quello del rischio, equindi, identificare i contesti in cui inter-venire con delle contromisure.Definire le contromisureCon il termine contromisure si indicanole misure organizzative e tecnologiche ingrado di abbattere il livello del rischio ri-ducendolo ad un livello considerato ac-cettabile. Possono essere distinte in rela-zione all’obiettivo prefissato, che può es-sere di:

� Prevenzione: impedire che l’attaccovenga attuato;

� Rilevazione: rilevare, a fronte di unattacco, l’evento e/o le sue conse-guenze;

� Ripristino: minimizzare il danno at-traverso un veloce ripristino del si-stema.

Selezionare le misure di sicurezza ITCorrisponde ad eseguire una analisi co-sti/benefici degli investimenti necessariper l’adozione di contromisure, in rela-zione ai corrispondenti livelli di rischioresiduo. Le misure di sicurezza IT sonoquindi elencate per scala di priorità e ri-esaminate per accettazione dal Top Ma-nagement. Pianificare e riesaminare le misure di si-curezza ITIn questa fase è definito il piano di attivi-tà da implementare e riesaminare perio-dicamente per verificarne l’efficacia.L‘obiettivo è di mantenere aggiornata lavalutazione del rischio, ripetendo cicli-camente il processo per eventuali rischiemergenti o possibili variazioni di aspettinoti.

Business ContinuityManagement (BCM) Lo standard BS 25999-2 definisce i re-quisiti di un Sistema di Gestione dellaContinuità Operativa, con l’obiettivo direalizzare un sistema efficace e fornireun quadro di riferimento per l’attuazioneed il miglioramento continuo di un siste-ma di BCM. La figura 2 illustra le macro-attività dello standard; le fasi 2, 3, 4, 5possono essere utilizzate per definire unPiano di Continuità Operativa.Analisi di Impatto sull’organizzazione

L’analisi d’impatto consente di identifica-re i processi critici2, le interdipendenze ele risorse necessarie per il ripristino gra-duale delle attività. Il risultato di questafase è una sintesi degli impatti “indipen-denti dalle minacce” che possono dan-neggiare la reputazione, gli asset e la po-sizione finanziaria di una organizzazio-ne a causa della perdita della sua capa-cità operativa. Questi elementi sono uti-lizzati per definire il periodo di massimainterruzione tollerabile (obiettivo tempo-rale di ripristino) riferito ad eventuali vin-coli di mercato o di natura contrattuale.Corrispondentemente sono quantificatele risorse minime (e.g. personale, siste-mi, apparati, strumenti e reti) necessarieper supportare il ripristino dei processi dibusiness. Per quanto concerne la tipologia deglieffetti dalla quale proteggersi, occorreidentificare gli impatti che riducono leprestazioni dei processi di business sulbreve-medio termine, come ad esempio:� Perdita del personale chiave; � Perdita degli asset fisici, quali:� Sede operativa (inagibilità di un edi-ficio, accessibilità all’area);

� Sistema informativo (mancanza diinformazioni/dati per processi ed at-tività di supporto);

� Apparecchiature e sistemi (linee pro-duttive, mezzi per erogare servizi).

� Problemi indotti dalla Catena di For-nitura:- Eccessivo “lead time” di fornitura;- Rapido deterioramento delle pre-stazioni di un fornitore chiave.

L’analisi d’impatto sull’organizzazioneeffettua primariamente una valutazionesu base economica, valuta cioè la perdi-ta causata dal verificarsi di un impatto,incluse le spese di sostituzione/riparazio-ne degli asset fisici, oltre ad una valuta-zione qualitativa degli asset intangibili(e.g. credibilità, immagine e soddisfazio-ne del cliente).Valutazione del rischioI requisiti di valutazione del rischio dellostandard BS 25999 indirizzano l’analisidelle minacce dal punto di vista degli ef-fetti prodotti sui processi critici, in con-trapposizione alla tradizionale valutazio-

� La gestione integrata del portfolio dei rischi aziendali �41

tteemmaa

> Figura 3 – Struttura del processo “Risk Management” (v. ISO 31000)

ESTABLISHTHECONTEXTWhat do we need to take intoaccount andour objectives?

IDENTIFYTHE RISKS

What mighthappen?How, whenand why?

ANALYZETHE RISKS

What this will mean for our objectives?

EVALUATETHE RISKS

Which risksneed treating andour priority forattention?

TREAT THE RISKS

How shouldwe best deal with them?


ne del rischio che si concentra su tuttele minacce dell’organizzazione, senzaalcuna distinzione. La valutazione delrischio determina la probabilità di ogniminaccia che può causare interruzionidei processi critici e la corrispondentegravità del potenziale impatto, tenendoconto dei controlli in corso per ridurrela probabilità di accadimento o mitiga-re la gravità associata al problema. Adesempio, in ambito industriale, l’instal-lazione di apparecchiature o linee ri-dondanti riduce la probabilità della in-terruzione dei processi, il mantenimen-to di scorte di sicurezza riduce l’impat-to di una minaccia. Per ogni potenzialeminaccia è opportuno definire: impatti,cause e modi di guasto, controlli incorso, potenziali misure di mitigazioneo sviluppo di azioni che risolvono all’o-rigine le carenze individuate. Infine, unsistema di classificazione è applicato airisultati del processo per definire lepriorità delle potenziali misure di miti-gazione. In termini formali, la dimen-sione del rischio è la combinazionedell’entità dell’impatto e della probabi-lità di accadimento della minaccia:Dimensione del Rischio = Impatto sulBusiness * Probabilità della MinacciaDove:� Il livello di impatto sul business èespresso in Euro (e.g. costo del fer-mo di una linea);

� La probabilità di accadimento dellaminaccia può essere valutata, adesempio, con i livelli: 0% (nessunaprobabilità prevista al momento);10% (bassa probabilità; nessun con-creto avviso di accadimento); 30%(media probabilità; tuttavia si sperache non accada); 60% (alta probabi-lità; accadrà quasi certamente, oc-corre pianificare in dettaglio unareazione); 90% (probabilità moltoalta; non c’è possibilità di successosenza una pronta reazione).

Con riferimento al budget messo a dis-posizione dall’Alta Direzione, la listadelle priorità dei rischi è correlata con la“tolleranza al rischio”; il rischio calcola-to è confrontato con il rischio accettabiledall’organizzazione3 determinando così

il livello di rischio da abbattere, e di con-seguenza, le criticità da risolvere, lepriorità di intervento ed il livello di ri-schio residuo. È quindi possibile pianificare le misuredi trattamento, allo scopo di: Ridurre ilrischio (e.g. realizzare delle misure dimitigazione); Eliminare il rischio (e.g. ri-solvere all’origine la causa della minac-cia); Trasferire il rischio (e.g. trasferimen-to del rischio economico mediante for-me assicurative o cessione di attività);Accettare il rischio (e.g. nessuna azione:basso impatto o attività di mitigazionetroppo onerosa). Strategie di continuità operativaLe strategie di Gestione della ContinuitàOperativa includono la scelta dei meto-di operativi da adottare a fronte di unainterruzione, al fine di mantenere attivi iprocessi critici e le attività di supporto,in base alle priorità e ai relativi obiettivi.Per mitigare l’impatto di una interruzio-ne o ridurre le probabilità del verificarsidi una minaccia sono disponibili diversestrategie che possono essere confrontatein base ad alcuni parametri, quali adesempio: tempo di ripristino, affidabili-tà, costi di realizzazione. Più è rapida lanecessità di recupero delle normali ope-ratività, maggiore è il costo della solu-zione adottata; pertanto, un’organizza-zione deve bilanciare tempi - costi, inbase alle proprie esigenze. Le strategiepiù comuni includono: Diversità geo-grafica; “Outsourcing”; Magazzinaggio;Trasferimento temporaneo di persona-le/attività; Rotazione del personale;Mantenimento di inventari esterni; Fontid’approvvigionamento multiple; Piani dicontinuità operativa dei fornitori.Piano di continuità operativaL’obiettivo della pianificazione è di as-sicurare la disponibilità delle compe-tenze necessarie per implementare lestrategie di recupero che soddisfano irequisiti di continuità operativa definitinelle fasi precedenti. A livello operati-vo, il piano rende disponibili le proce-dure di emergenza, di risposta inizialee ripristino delle normali operativitàutilizzando, ad esempio, delle liste dicontrollo secondo i macro-scenari indi-

viduati nella fase Analisi di Impatto sul-l’Organizzazione.

ConclusioniUna organizzazione che applica le mi-gliori pratiche correnti in tema di Sicurez-za IT, Continuità Operativa e Gestionedel Rischio è in grado di controllare conefficacia le proprie vulnerabilità e mitiga-re i rischi a cui è esposta ottenendo cosìun miglioramento in sicurezza e resilien-za. Tali pratiche devono essere applicateanche in un contesto di network, a causadi intrinseche debolezze strutturali dellecatene di fornitura di cui l’impresa fa par-te, dove l’elemento più debole della cate-na può influenzare negativamente le pre-stazioni di tutte le altre organizzazioni.

Bibliografia1. IRM (Institute of Risk Management) - AIR-

MIC (Association of Insurance and Risk

Managers) - ALARM (National Forum for

Risk Management), A Risk Management

Standard, 2002

2. Y. Sheffi, Resilient Enterprise: Overcoming

Vulnerability for Competitive Advantage,

The MIT Press, April 2007

3. SP 800-30: Risk Management Guide for In-

formation Technology Systems, NIST 2002

4. Y. Sheffi, A Supply Chain View of the Re-

silient Enterprise. MIT Sloan Management

Review, Fall 2005

5. ISO 27001: 2005, Information Technology

Security Techniques - Information Security

Management Systems - Requirements

6. BS 25999-2: 2007 – Specification for Busi-

ness Continuity Management, British Stan-

dards Institution

7. ISO 31000: 2009, Risk Management - Prin-

ciples and Guidelines on Implementation

8. ISO Guide 73: 2009, Risk Management –

Vocabulary

� NOTE1 Elemento in grado di influire sulla dimensione del

rischio (la combinazione della probabilità di un

evento e dell’entità delle sue conseguenze)

2 “Critici” dal punto di vista dell’effetto causato dal-

la loro interruzione sui risultati di business.

3 Corrisponde al livello di rischio che un’organizza-

zione è disposta ad accettare ed influenza l’am-

piezza delle misure di mitigazione da attuare.


lezza per approcciare un nuovo merca-to estero, valutarne le minacce e le op-portunità e definire le strategie di pene-trazione nei mercati esteri.Sin dalla fase preliminare di analisi stra-tegica, un’impresa che intende non in-correre in irrimediabili errori di valuta-zione strategica, pone la giusta impor-tanza ad una funzione sempre più evo-cata, ma poco strutturata all’internodelle Organizzazioni, anche se spessoinsita nel processo decisionale, qualequella del Risk Management.Infatti qualsiasi Organizzazione tendea valutare, con approcci e tecniche piùo meno strutturate e affidabili, gli even-tuali rischi in cui potrebbe incorrerenell’intraprendere una nuova iniziativae soprattutto quando intende avviareun processo d’internazionalizzazione.Nelle piccole e medie imprese la funzio-ne del Risk Management viene sempli-cemente inglobata nella delicata funzio-ne decisoria e di guida dell’imprenditoreo del Management, che spesso accentra-no la responsabilità di individuare le mi-nacce e le opportunità dell’internaziona-lizzarsi, nonché le decisioni delle strate-gie relative a tale processo.Tra i diversi e conseguenti step cheun’impresa affronta quando intende in-ternazionalizzarsi, è fondamentale evi-denziare che, dopo aver individuato unpossibile paese di destinazione (paesetarget), è necessario effettuare una at-

Risk Management nei pro-cessi d’internazionalizzazione

Gaetano MacarioProfessore a c. di Strategie e gestione aziendale Univ. Bari

“evoluzione in stadi”.Ma se si osservano le statistiche e lepresenze delle imprese nei mercatiesteri, si può notare che non sempretutte le imprese seguono un percorsoincrementale nel processo d’internazio-nalizzazione. Anche se il termine “pro-cesso” può indurci a pensare che inter-nazionalizzarsi significa seguire deglistep obbligatori di un percorso di tipoincrementale.In parte questo è vero, soprattutto per lepiccole e medie imprese che non han-no alcuna esperienza dei mercati esterie che non hanno un ufficio export ouna adeguata conoscenza dei mercatiesteri nel settore di competenza.E’ necessario ricordare che, per molteimprese, varcare i limiti del mercatodomestico, sperimentando nuovi per-corsi per la crescita, è una sfida total-mente nuova; per molte altre, con pre-cedenti esperienze nei mercati interna-zionali, la sfida è il consolidamentodella propria presenza nei mercati tar-get già presidiati e l’inserimento innuovi mercati, che possono presentareregole del gioco del tutto nuove rispet-to alle esperienze acquisite.In entrambi i casi, prima di avviare consuccesso un processo di internaziona-lizzazione, è necessario effettuareun’attenta analisi strategica, per indivi-duare nell’Organizzazione le propen-sioni interne, i punti di forza e di debo-

Le sfide competitive della globaliz-zazione, caratterizzate da unanotevole incertezza e velocità

nelle decisioni, richiedono una gestio-ne strategica supportata da sistema or-ganizzato e strutturato di gestione deirischi

PPrroocceessssii dd’’iinntteerrnnaazziioonnaalliizz--zzaazziioonnee ee ggeessttiioonnee ddeeii rrii--sscchhiiSempre più le imprese, sia piccole siamedio grandi, avvertono l’esigenza diconquistare i mercati esteri o di miglio-rare il loro posizionamento, incremen-tando le proprie quote di mercato inpaesi esteri in cui sono già presenti.Questa tendenza è evidente soprattuttoper effetto della crescente competizioneglobale, che spinge le imprese, di qual-siasi paese occidentale o appartenentea quelli denominati BRICS (Brasile, Rus-sia, India, Cina e Sud Africa) o ex emer-genti (soprattutto per quel che riguardala Cina, Russia e India), ed anche i pae-si in via di sviluppo, a individuare lestrategie per internazionalizzarsi, av-viando quelli che si definisco i processid’internazionalizzazione.Infatti spesso nella letteratura dell’Inter-national Business Management si ri-scontrano approcci che hanno convintotutti noi che un’impresa debba seguireun percorso d’internazionalizzazione ditipo “incrementale” o che vive una


tteemmaa

44 � Gestione dei rischi �

>>

� Risk Management nei processi d’internazionalizzazione delle imprese �

opzioni strategiche con cui un’impresadecide di entrare in un mercato estero,coincidono con uno stadio di interna-zionalizzazione e di capacità di gestio-ne dei rischi a livello internazionale.Infatti nel caso di esportazione indiret-ta l’impresa decide di non impegnarsimolto in termini di costi e investimen-ti, ma soprattutto di non esporsi a ri-schi importanti, lasciando a terzi inter-mediari (imprese import-export, impor-tatori o trading company) il controllodelle vendite nel paese target. Qualorainvece l’impresa intenda avere una mi-nima forma di controllo delle venditenel paese di destinazione, deve pro-gettare un intervento diretto nelle ven-dite, con investimenti diretti e control-lo diretto del mercato estero target,sia gestendo direttamente i rapporticon i clienti esteri sia progettando oampliando un sistema di franchisingestero.Infine qualora l’impresa si orienti versoun paradigma di aggregazioni e integra-zioni (joint venture, alleanze strategiche,ecc) o di produzioni in loco, individuaun’opzione di maggiore rischio e dimaggiori investimenti. Si evidenzia, tut-tavia, che le stesse forme di integrazionee/o aggregazione, variamente strutturate,pur richiedendo un maggiore impegnofinanziario e pur presentando implica-zioni più impegnative sotto il profilo deirischi da fronteggiare, nel contempo pre-sentano il vantaggio di ridurre gli investi-menti che sarebbero necessari in caso dipresidio diretto di uno o più mercatiesteri. Inoltre le forme di integrazionee/o aggregazione costituiscono un validostrumento per mitigare i rischi di merca-to, particolarmente insidiosi nei mercatiesteri, anche quando sono condotti op-portuni ed approfonditi studi e ricerchepreliminari agli insediamenti, sia a livel-lo di ambiente competitivo (microam-biente) che a livello macroeconomico.Particolarmente rilevanti e talvolta sor-prendenti (positivamente o negativamen-te) possono essere, infatti, i risvolti e leimplicazioni di tipo concorrenziale, so-ciale e politico, senza trascurare le insi-die dell’opinione pubblica locale che

Infatti un’attenta analisi strategica preli-minare all’ingresso in un nuovo merca-to estero prevede la relativa analisidell’attrattività di questo mercato este-ro, attrattività fortemente condizionatadai risultati dell’analisi PEST, molto piùdi quanto lo sia la valutazione dell’at-trattività di un mercato locale.

LLee ooppzziioonnii ssttrraatteeggiicchhee ddeellll’’IInntteerrnnaazziioonnaalliizzzzaazziioonneedd’’iimmpprreessaa ee iill TTrraaddee--OOffffttrraa ggrraaddoo ddii ccoonnttrroollllooee lliivveelllloo ddii rriisscchhiiooVerificata l’attrattività del mercato este-ro target e individuati con attenzione ifattori critici di successo, occorre piani-ficare accuratamente le strategie perl’inserimento nel mercato, valutando at-tentamente i benefici attesi, i costi, leopportunità e le minacce associate aciascuna scelta, senza trascurare di pre-disporre una serie di misure per la ge-stione dei rischi.Infatti l’individuazione di una precisacorporate strategy è la conseguenza diuna valutazione attenta dei risultati sca-turiti dalla suindicata analisi di attrattivi-tà del Paese target e di una altrettantoimportante analisi del trade off tra il gra-do di controllo dell’iniziativa internazio-nale, che un’impresa può detenere sullerelative vendite all’estero, e il livello dirischio che si intende affrontare, in rela-zione alla dimensione dell’investimento.Le opzioni strategiche correlate conquesto trade-off sono diverse: si vadall’esportazione indiretta alla venditadiretta, dalle delocalizzazioni alle fu-sioni e acquisizioni, joint venture (con-tractual joint venture o equity joint ven-ture, con la costituzione di società mi-ste), franchising, licensing, accordi dipartenariato variamente strutturati congli attori dei canali distributivi, ecc..E’ semplice intuire che ogni opzionestrategica perseguibile presenta proble-matiche di varia complessità, con impe-gni, in termini di costo e di rischio, eimplicazioni ben diverse per l’impresae per le conseguenti strategie di marke-ting internazionale.Si può pertanto affermare che spesso le

tenta analisi delle macrovariabili di unpaese target (Politica, Economica, So-cio-culturale, Tecnologica), denominataanalisi PEST, per la valutazione dei ri-schi e delle opportunità del SistemaPaese del mercato di destinazione.Quest’analisi rientra tra le prime valuta-zioni affidate sia alla Strategia d’impre-sa sia alla funzione del Risk Manage-ment che insieme permettono al Mana-gement di occuparsi efficacemente del-la Governance dell’impresa, cercandodi individuare, conoscere ed analizzaretutti i rischi derivanti dalla relazionecon un determinato paese estero, diver-so per cultura e magari anche diversopoliticamente, socialmente ed econo-micamente, modulando di conseguen-za le strategie corporate, di business eoperative.Oltre a questi rischi potenziali occorreprestare attenzione alle difficoltà chepotrebbero aggiungersi qualora il paeseestero di destinazione individuato siaanche geograficamente lontano, origi-nando altri potenziali rischi di logistica,di relazioni commerciali, finanziarie erelative al credito.Nella gestione dei rischi per l’interna-zionalizzazione è necessaria una preli-minare, ma anche costante, analisi de-gli scenari internazionali da un puntodi vista sia economico sia politico, inmodo da poter proiettare un futuro pos-sibile, fondamentale per la pianificazio-ne di strategie alternative in relazionealle possibili sequenze di eventi chepotrebbero determinare una situazionepossibile, ma non certa.L’incertezza degli eventi spinge le im-prese, nel pieno rispetto di un efficaceRisk Management, ad analizzare tuttele informazioni e i dati conosciuti perpoter evitare o mitigare i rischi deri-vanti dalla non conoscenza deglieventi, che a sua volta genera incertez-za per il futuro.Pertanto il Risk Management deve sup-portare la Direzione di un’impresa perla valutazione delle decisioni nei mer-cati nazionali, ma altrettanto per le de-cisioni strategiche relative ai processid’internazionalizzazione.


45tteemm

aa


talvolta vede nell’impresa straniera untentativo di ingerenza nella cultura e nel-l’economia del proprio paese.Pertanto è fondamentale acquisire, al-l’interno di un processo di gestione stra-tegica, quelle best practices di successoper la gestione dei rischi sia a livello dimercati nazionali sia (e soprattutto) perle iniziative da intraprendere nei merca-ti internazionali.

EExxppoorrtt RRiisskk MMaannaaggeemmeennttIl risk management, come è noto, sindalle sue prime applicazioni è stato in-terpretato e praticato orientandolo ver-so la gestione di rischi finanziari e assi-curativi. Approcci più maturi e struttu-rati al Risk Management evidenzianoinvece che, oggi più che in passato, es-so deve permeare ogni aspetto della ge-stione strategica di un’impresa. Questoè ancor più vero per le imprese che in-traprendono e percorrono un processodi internazionalizzazione, in cui la fun-zione del risk management è di crucialeimportanza e richiede approcci globalie metodologie specifiche di applicazio-ne in diversi aspetti rilevanti: dalla va-lutazione del rischio paese a quella delrischio della controparte commerciale,dalla tutela dei beni intellettuali alle di-namiche della contrattualistica, dagliaspetti logistici a quelli del creditocommerciale.Ovviamente si rinvia ad ulteriori fonti oa futuri contributi per poter affrontaretutti le diverse e interessanti problemati-che relative ai rischi derivanti dagliscambi commerciali con i paesi esteri.Infatti la gestione dei rischi del credito,finanziari (tassi e cambi valute), com-merciali, legali e logistici nei processidi internazionalizzazione è ricca distrumenti e best practices, che sonooramai divenute tecniche conosciuteed applicate da tutte le imprese che,dotandosi di un export office, affronta-no diversi mercati esteri, gestendo quo-tidianamente numerose operazionicommerciali, doganali e finanziariecon operatori o buyers stranieri.E’ sempre più importante, per le impre-se che si orientano verso i mercati este-

ri, valutare, oltre al rischio del paese didestinazione, di prioritaria importanzaper la sicurezza dell’iniziativa interna-zionale, il rischio sui nominativi deglioperatori e/o buyers esteri, sulla loro af-fidabilità, credibilità e in quale misura(Credit Risk Rating).Se questa attività di valutazione del ri-schio commerciale (insolvenza di diritto,insolvenza di fatto e altre controversie) èdivenuta ordinaria e di semplice applica-zione negli scambi tra operatori nazio-nali, al contrario risulta particolarmenteimpegnativa negli scambi commercialicon i paesi esteri, sia per la difficoltà ditrovare fonti informative attendibili siaper il rischio di mancato incasso, che sipresenta di difficile gestione nei suoiaspetti tecnici e operativi. Bisogna per-tanto considerare e conoscere, con un li-vello di approfondimento adeguato, lenormative internazionali e locali, da unpunto di vista commerciale, societario,valutario, giuslavoristico, ecc.Dunque oltre ai rischi insiti nella pro-duzione o nel ramo danni, le impreseche intendono internazionalizzarsi de-vono gestire con professionalità il ri-schio di credito e i rischi finanziari, an-che attraverso nuovi approcci (stress te-sting, value at risk, ecc.), affidando siaalla funzione export sia alla funzione fi-nanziaria, in piena, costante e strettacollaborazione, l’individuazione deglistrumenti più idonei per le decisioni diaffidamento o dilazione nei tempi dipagamento da concedere alla contro-parte estera, concertando le valutazionirelative per la gestione più efficiente deirischi provenienti dall’oscillazione deivalori dei tassi finanziari e delle valutediverse da quella nazionale.Oltre a poter utilizzare strumenti e tec-niche di copertura dei rischi operandosul mercato a termine, è possibile rea-lizzare operazioni coordinate di hed-ging oppure ricorrere all’utilizzo dicontratti di copertura a premio, deno-minati option (put option e call option). La gestione dei rischi dei crediti derivantidalle operazioni commerciali con l’este-ro deve tener conto, come si desume daquanto sin qui delineato, oltre che del ri-

schio commerciale (rischio di solvibilitàdell’operatore estero) anche del rischiopaese (rischi macroeconomici e di solvi-bilità del paese estero, nonché dell’effi-cienza del relativo sistema giudiziario).Infatti un’impresa che intenda penetrareun nuovo mercato estero deve accertarsiin primis del “country risk”, magari uti-lizzando tutte le informazioni preziose adisposizione, derivanti dai supporti isti-tuzionali e non (SACE, ICE, Camere diCommercio Estere, Simest, Banche consedi all’estero, agenzie di rating, assicu-razioni specializzate, riviste specializza-te, ecc) per l’individuazione degli EGS(eventi generatori di sinistro) e la relativavalutazione e gestione dei rischi delleiniziative all’estero, strutturando un re-port o una scheda, per ogni singolo rap-porto con gli operatori esteri, nel qualeriportare le informazioni relative al rating(politico, economico, bancario e operati-vo) del paese target, in modo da ottenereun outlook paese. In secondo luogol’impresa deve tener conto della valuta-zione del rischio commerciale della sin-gola operazione con la controparte este-ra, che non sempre coincide con la valu-tazione di rischio del paese (asincroniatra rischio paese e rischio commerciale),riportando sempre nel suindicato reportle informazioni del livello di rischiodell’operatore estero (rating buyer) e in-dividuando di conseguenza le azioni piùopportune e gli strumenti più efficaci dicopertura del rischio totale relativo al-l’intera iniziativa commerciale (ratingPaese + rating buyer).

CCoonncclluussiioonniiNell’attuale contesto economico, finan-ziario e sociale, in cui la globalizzazio-ne è un concetto oramai diffuso e per-mea di sé, sempre più profondamente,ogni situazione quotidiana che un’im-presa o un’Organizzazione affronta nelsuo operare, grande rilievo va posto al-la gestione totale dei rischi derivanti dauna molteplicità di rapporti con opera-tori a livello internazionale.In questo contesto di globalizzazionedelle relazioni e degli scambi interna-zionali, dunque, assume notevole im-



portanza una Corporate Goverance in-centrata su una attenta pianificazionestrategica, caratterizzata da un processoorganizzato e strutturato di previsione,analisi e gestione dei rischi derivanti dauna complessa gestione non più localema globale, con un elevato grado di in-certezza, senza trascurare l’elevato gra-do di velocità dei processi decisionali.Il Risk Management diviene dunqueuna componente fondamentale nel pro-cesso di gestione strategica, soprattuttoper un’impresa che intenda migliorarela propria capacità competitiva e crearevalore per tutti gli stakeholder, sia na-zionali sia internazionali.

Nei processi d’internazionalizzazionela necessità del Risk Management è si-curamente una necessità sentita, siadalle piccole sia dalle medie e grandiimprese, che hanno almeno una voltasperimentato una relazione commercia-le con un operatore di un paese estero,verificando nella realtà il livello d’incer-tezza incontrato dopo aver iniziato unpercorso di internazionalizzazione ouna semplice operazione commercialecon un paese estero.Le imprese di dimensioni minori e le im-prese che non hanno ancora avuto mo-do di approcciare i mercati esteri, inve-ce, percepiscono meno l’importanza del

Risk Management, non rendendosi con-to che un’attenta gestione dei rischi nellapropria attività anche a livello nazionaleè sicuramente un value driver da nontralasciare per la creazione di valore.

BBiibblliiooggrraaffiiaa� A.C. Pellicelli, La gestione dei rischi

nelle imprese, Giappichelli Editore Tori-

no, 2004

� Charles W. H. Hill, International Busi-

ness, Hoepli, 2007

� E. Valdani – G. Bertoli, Marketing dei

mercati internazionali, Egea, 2006

� Giorgio Pellicelli, Strategie d’impresa,

EGEA, 2006

� Risk Management nei processi d’internazionalizzazione delle imprese �47

tteemmaa

continua da pagina 37

continua da pagina 56 da Rubrica Corsi

getti apicali e/o da sottoposti, ex De-creto Legislativo n. 231/2001 e succes-sive modifiche e integrazioni, che haprogressivamente ampliato il propriocampo di applicazione. Infine, un campo da non trascurarenella gestione dei rischi in ambitocompliance è quella della conformitàdei comportamenti aziendali rispettoalle normative contro le frodi finanzia-rie, contabili e fiscali.

Riflessioni conclusiveIl risk management è una componentecruciale di ogni strategia di creazionedi valore.Una gestione efficace dei rischi richie-de l’adozione di processi e di strumen-ti, spesso sofisticati, di analisi, misura-zione, valutazione, azione e monito-

raggio. Ma questo non basta: metodo-logie e tecniche raffinate non sono suf-ficienti per proteggere efficacemente leimprese dai rischi, né bastano per ga-rantire che le imprese traggano i massi-mi benefici da una gestione proattivadel proprio profilo di rischio.Il risk management moderno implicauna cambiamento di cultura, facendoin modo che il rischio sia parte inte-grante dei processi decisionali ad ognilivello dell’organizzazione, in coeren-za con le strategie perseguite.La visione dei rischi aziendali diventaolistica, comprendendo i rischi strategi-ci, i rischi gestionali ed operativi, i ri-schi di rendicontazione e comunica-zione (reporting finanziario e comuni-cazioni sociali in generale) e, non ulti-mi, i rischi derivanti dai sempre piùstringenti vincoli della conformità le-gislativa.

Bibliografia � COSO, “Enterprise Risk Management:

Understanding and Communicating

Risk Appetite”, January 2012;

� COSO, “Developing Key Risk Indica-

tors to Strengthen Enterprise Risk Man-

agement”, December 2010;

� COSO, “Strengthening Enterprise Risk

Management for Strategic Advantage”;

� COSO, “Enterprise Risk Management –

Executive Summary”, 2004

� S. Beretta, “Valutazione dei rischi e

controllo interno”, EGEA, 2004;

� AA.VV., “Gli strumenti e le strategie per

gestire il rischio”, Harvard Business Re-

view, giugno 2009;

� PriceWaterhouseCoopers, “Il COSO Re-

port come riferimento per la gestione del

rischio”, in Atti del Convegno “Enterprise

Risk Management: i sistemi di gestione

aziendale per la gestione del rischio di

impresa”, Sincert, Milano, maggio 2005.

- Corso base per l’implementazione del sistema di gestione aziendale del rischio secondo la Norma ISO 31000

3-4 ottobreTecniche di Testing e di AssicurazioneQualità del Software8-9 ottobreCorso introduttivo sugli standard volon-tari nella filiera agroalimentare

22-23 ottobreCapacità di comunicazione in pubblicoe gestione delle riunioni25 ottobreLa normativa ambientale e gli obblighiper le imprese22-26 ottobreCorso 40 h SGA

16/17 ottobreCorso per datori di lavoro come Re-sponsabile del Servizio di Prevenzione eProtezione16-19 ottobre- Corso per addetti e responsabili dellasicurezza- Corso di formazione per i RLS

22 ottobreCorsi aggiornamento RSPP e ASPP


IntroduzioneLe catene di fornitura sono oggigiornosempre più esposte a rischi di varia natu-ra. La globalizzazione ha fatto sì che ipartner del network siano sparsi in tuttoil mondo, con grandi distanze da percor-rere, attraversamenti di frontiere e neces-sità di operatori logistici di vario tipo.Inoltre, l’outsourcing ha reso le catene difornitura più complesse, in quanto è au-mentato il numero di aziende coinvoltenella progettazione, realizzazione e dis-tribuzione del prodotto. Infine, la sceltadi filosofie produttive “lean”, che com-portano la riduzione delle scorte, ha resoi network più fragili, in quanto semprepiù dipendenti dal puntuale funziona-mento dell’intera catena di fornitura; per-tanto, qualsiasi performance negativa diuna impresa può avere conseguenze acascata su tutte le altre.

Uno studio condotto dalla CranfieldUniversity per il governo UK [1] ha iden-tificato le seguenti debolezze “struttura-li”, da cui deriva la vulnerabilità dellemoderne catene di fornitura:� Focalizzazione sull’efficienza piutto-sto che sull’efficacia;

� Globalizzazione della catena di for-nitura;

� Consolidamento produttivo e centra-lizzazione della distribuzione;

� Esternalizzazione delle attività nonstrategiche;

� Riduzione della base dei fornitori;� Volatilità della domanda. Alcune strategie, quali la deverticalizza-zione delle aziende, il crescente ricorsoall’outsourcing, la realizzazione di pro-dotti su pochi siti produttivi e la centra-lizzazione della distribuzione in “distri-bution hub” hanno spinto le organizza-

Domenico FaragliaQuality Manager in Intecs AQ, TQM Assessor

La gestione dei rischi nelle catene di fornitura

zioni verso avanzati meccanismi di con-divisione delle informazioni e di coordi-namento delle relative attività. Le diffi-coltà di realizzare rapporti di partnershipha fatto emergere con maggiore intensitàaltri fattori di rischio (e.g. forte dipenden-za dalla tecnologia, mancanza di fiduciareciproca, mancanza di coordinamento,comportamenti individualistici) che pos-sono ostacolare il raggiungimento degliobiettivi di una catena di fornitura.

Vulnerabilità della catena di fornitura e fattori di rischio (“drivers”)La figura 1 mostra la relazione tra “dis-ruption” e vulnerabilità della catena difornitura; l‘incapacità di comprendere ifattori di rischio (“drivers”) delle poten-ziali vulnerabilità di una catena di forni-tura può compromettere la capacità di

� Gestione dei rischi �tteemmaa >>

48

Negative consequence

Supply chain vulnerability

Susceptibility of the supply chainto the harm of a supply chaindisruption (not observable)

Drivers of supply chain vulnerability

Determinant of the level ofsupply chain vulnerability (ob-servable)

Supply chain disruption

Trigger that lead to occurrenceof supply chain risk

+

> Figura 1 – “Disruption” e vulnerabilità della catena di fornitura

caratteristiche della catena di forniturasono antecedenti alla vulnerabilità dellastessa; di conseguenza, se il manage-ment è in grado di agire sulle caratteristi-che della catena di fornitura, è possibileridurre la vulnerabilità e gli effetti negati-vi per l’impresa focus e la catena di for-nitura nel suo complesso.Fattori di rischio (“drivers”) delle vulne-rabilità della catena di fornitura. Le vul-nerabilità della catena di fornitura sonoil risultato di alcune ‘’driver’’ (caratteristi-che della catena di fornitura o antece-denti); la vulnerabilità di una catena difornitura per sé non può essere osserva-ta, ma lo sono le variabili che determina-no il livello di vulnerabilità della catenadi fornitura. Le classi di disruption chene derivano sono qualificate come “Sor-genti di rischio della catena difornitura”.Rischio della catena di fornitura: lo sco-stamento negativo dal valore atteso di

una misura di prestazione, da cui deri-vano conseguenze negative per l’impre-sa focus. Il rischio è equiparato al dannoprocurato da una “disruption” della cate-na di fornitura; si adotta quindi il concet-to di rischio negativo (danno, perdita oaltre conseguenze indesiderate) che me-glio risponde alla realtà di business dellacatena di fornitura.Una classificazione delle categorie di ri-schio della catena di fornitura (fonte [4])è riportata in figura 2; i fattori di rischio(o “driver”) della vulnerabilità della cate-na di fornitura sono elencati in tabella 1.Rischi esterni all’impresa si riassumononelle categorie:Domanda. Si riferisce a perturbazioni ef-fettive o potenziali per il flusso di prodot-ti, informazioni e denaro, provenientidall’interno della rete, tra l’impresa focuse il suo mercato (downstream flow).Offerta. Si riferisce a perturbazioni effet-tive o potenziali per il flusso di prodotti,informazioni e denaro, provenienti dal-l’interno della rete, tra l’impresa focus e isuoi fornitori (upstream flow).Ambientale. Rischi associati con l’ester-no e corrispondono, nella prospettivadell’azienda, ad eventi incontrollabiliche possono avere un impatto direttosull’azienda o attraverso i suoi clienti efornitori. Rischi interni all’impresa, riferiti alle atti-vità di business, si riassumono nelle ca-tegorie:Processi. Si riferisce alle interruzioni deiprocessi di business.Controlli. Si riferiscono ai sistemi, proce-dure e prassi operative che definiscono ilmodo in cui una organizzazione esercitail controllo su i suoi processi.


gestirne le “disruption”.In questo ambito sono utilizzati alcunitermini correlati (fonte: [2] con adatta-menti):“Disruption” della catena di fornitura:una situazione avversa, non intenziona-le, innescata da un evento imprevistoche determina una interruzione dellenormali attività, la cui durata ed ampiez-za dipendono dalla gravità dell’eventodirompente. Le “disruption” possono ve-rificarsi per cause interne alla catena difornitura (e.g. qualità insufficiente, forni-tori inaffidabili, guasti di apparecchiatu-re, errori significativi di previsione delladomanda) o al di fuori della stessa (e.g.calamità naturali, incidenti, attacchi in-tenzionali, grande variabilità della do-manda); in genere, le “disruption” sonoclassificate in relazione all’elemento co-involto (e.g. fornitura, flusso dei materia-li, infrastruttura, sistema informativo, ri-sorse umane).Vulnerabilità della catena di fornitura:mentre una “disruption” della catena difornitura è il fattore scatenante che portaal verificarsi del rischio, esso non è l’uni-co fattore che determina il risultato finale(negativo). Anche la sensibilità della ca-tena di fornitura al danno prodotto daquesta situazione è di particolare rile-vanza; questo porta al concetto di vulne-rabilità della catena di fornitura, definitacome “an exposure to serious disturban-ce”. La premessa fondamentale è che le

� La gestione dei rischi nelle catene di fornitura �49

tteemmaa

Source of risk Drivers of supply chain vulnerability Demand Loss of major accounts, Volatility of demand, Concentration

of customer base, Short life-cycle, Innovative competitorsSupply Dependency on key suppliers, Consolidation in supply

markets, Quality and management issues arising from off-shore sourcing, Potential disruption at 2nd level, Length andvariability of replenishment lead-times

Process Manufacturing yield variability, Lengthy set-up times and no-flexible processes, Equipment reliability, Limited capacity/bottlenecks, Outsourcing key processes

Network/Control Asymmetric power relationships, Poor visibility along the network, Inappropriate rules that distort demand, Lack of collaborative planning and forecasts, Bullwhip effect

Environment Natural disasters, Terrorism, Regulatory changes, Tax duties and quotas, Strikes.

> Tabella 1 - Fattori di rischio della catena di fornitura (fonte [6])

> Figura 2 – Categorie di rischio della catena di fornitura

SUPPLY RISK PROCESS RISK

NETWORKCONTROL

RISK

DEMAND RISK

Environmental Risk


La capacità di una impresa che ricercanelle partnership con Clienti e Fornitorinuove leve per rafforzare il proprio po-sizionamento competitivo è strettamen-te legata al livello di efficienza e di effi-cacia della catena di fornitura di cui faparte. In questo contesto, è necessariofronteggiare l’incertezza tramite unprocesso di risk management struttura-to che consenta di valutare i rischi as-sociati alla gestione della singola im-presa e della catena di fornitura.

Il processo di Risk ManagementIl processo di risk management consistein un insieme di attività che consentonodi analizzare, valutare e trattare i rischiche possono insorgere in una catena di

fornitura, con riferimento alle organizza-zioni che ne fanno parte, ai processi dibusiness realizzati e agli “asset” disponi-bili. La figura 3 include le attività (ingrassetto) del processo di risk manage-ment definito nella norma ISO 31000,nel seguito contestualizzate nella gestio-ne dei rischi della catena di fornitura.Definizione del contestoLa definizione del perimetro della supplychain è di fondamentale importanza per-ché consente di caratterizzare le influen-ze interne ed esterne alla catena di forni-tura stessa.L’analisi, da eseguire a tutti i livelli deci-sionali (strategico, tattico e operativo) peri partner della rete, richiede una buonaconoscenza delle aziende e del network,del mercato di riferimento, del contesto

ambientale, politico, sociale. Inoltre, perpoter procedere alla valutazione dei ri-schi e alla priorità delle azioni di mitiga-zione occorre considerare la relazioneesistente tra rischi ed obiettivi della sin-gola organizzazione e dell’intera catenadi fornitura. Un rischio può risultare rilevante o menoin funzione dell’impatto sul business adesso collegabile; in funzione di tale para-metro, le azioni di mitigazione possonocoinvolgere impegni di risorse economi-che estremamente diverse. In questa fa-se, con riferimento alle aree critiche del-la singola organizzazione e del network,viene definita la propensione al rischiodelle singole imprese (ammontare del ri-schio complessivo ritenuto appropriatoper l’organizzazione in esame)1 e dellacatena di fornitura (ammontare del ri-schio complessivo considerato adeguato,in base agli accordi strategici in essere). La propensione al rischio è gestita attra-verso meccanismi di delega, ai diversi li-velli di management (v. figura 4: Legen-da), fissati i limiti di assunzione di re-sponsabilità in funzione del livello di ri-schio, e quindi, dei costi che ne possonoderivare.Valutazione del rischio L’identificazione del rischio ha scopo didefinire un elenco strutturato dei rischiche possono ostacolare o ritardare il rag-giungimento degli obiettivi, con conse-guenze sull’organizzazione e sulla cate-na di fornitura di cui essa fa parte. Unadescrizione strutturata dei rischi dovreb-

� Gestione dei rischi �50tteemmaa � Establishing the context

- Establishing the external and the internal context - Establishing the context of the risk management process- Developing the risk criteria

� Risk assessment- Identifying sources of risk, areas of impacts, events, causes and potentialconsequences

- Analyzing causes and sources of risk, their consequences and likelihood thatthese can occur

- Evaluating the level of risk found during the analysis stage with risk criteriaestablished.

� Risk treatment- Selection of risk treatment options- Preparing and implementing risk treatment plans

� Monitoring and review

> Figura 3 – Attività del processo di Risk Management (ISO 31000: 2009)

VH

H

M

L

VL

Prob

abili

tà

Impatto

Matrice di rischio

Rischio grave: definizione di una azione immediata (con il coinvolgimento del Top Management)

Rischio Alto : definizione di soluzioni per ridurre o eliminare il rischio (responsabilità del Mid Management)

Rischio moderato: definizione di azioni per mitigare il rischio (gestito dal responsabile nominato)

Rischio basso: gestito nell’ambito delle normali attività di routine del processo (responsabilità operativa)

> Figura 4 – Esempio di matrice di propensione al rischio (fonte [3] con adattamenti)

VL L M H VH


be includere l’estensione del rischio (e.g.descrizione qualitativa degli eventi, le lo-ro dimensioni, tipologia, numero e fatto-ri correlati), la quantificazione del ri-schio (rilevanza e probabilità), la tolle-ranza al rischio (definizione del livello ditolleranza della singola impresa e dellacatena di fornitura).In questa fase, possono essere utilizzatemetodologie e tecniche sviluppate in al-tri contesti quali, ad esempio [5]: Cause-Effects Diagram, Event Tree Analysis(ETA); Fault Tree Analysis (FTA); FailureModes Effects Analysis (FMEA); FailureModes Effects and Critically Analysis(FMECA); Hazard and Operability (HA-ZOP); Analytic Hierarchy Process (AHP).La figura 5 illustra un esempio di dia-gramma causa-effetto per le cause piùprobabili del ritardo della consegna diun prodotto, rispetto ai tempi previsti. In una catena di fornitura è di fonda-mentale importanza la valutazione delle

interdipendenze tra le organizzazioniche costituiscono il network. In questafase, possono essere di estrema utilità imodelli (e.g. Supply Chain OperationsReference Model – SCOR Model) checonsentono di associare i rischi a pro-cessi ed attività esercitate lungo tutta lacatena.L’analisi del rischio comporta l’esamedella causa origine, delle conseguenze,delle probabilità di insorgenza e dei fat-tori di rischio che possono influenzare iprecedenti elementi. L’analisi può essere,in ordine crescente di costo e complessi-tà, di tipo qualitativa, semi-quantitativa equantitativa in termini di probabilitàdell’evento e di stima delle possibili con-seguenze sugli “asset” tangibili ed intan-gibili dell’organizzazione. Il livello di rischio è calcolato in base almetodo quantitativo in situazioni in cuile conseguenze (in termini economici) ela probabilità di un evento o la sua fre-

quenza di accadimento possono esserequantificate. In questo caso, il rischio èfunzione della stima della probabilitàche un evento ha di verificarsi e dell’en-tità del danno (o impatto economico) pertutte le aree della catena di fornitura:Value At Risk (VAR) = ∑∑i Pi x Si (i = 1 … n)L’analisi qualitativa è un metodo che uti-lizza una descrizione per definire un li-vello di rischio e comporta la disponibi-lità di informazioni sulle natura della po-tenzialità del danno; queste informazionisono riassunte nei singoli elementi diuna matrice 3x3 (oppure 5x5) che de-scrive la probabilità dell’evento (righe) ele conseguenze di minacce (colonne). Lafigura 6 illustra un esempio di profilo dirischio di una organizzazione, dato dallacombinazione della probabilità di unevento (Medio) e dell’entità delle sueconseguenze (Medio), cui corrispondeun livello di “Rischio Alto”.Tale metodologia, sebbene si applichi aduna impresa focus, deve avere una di-mensione sovra-aziendale; pertanto, ifattori di rischio con cui si effettuano levalutazioni devono essere quelli di ge-stione della catena di fornitura e non sol-tanto quelli propri dell’impresa focus. Sidovranno pertanto considerare le rela-zioni tra i diversi fattori di rischio che di-pendono dai legami tra le attività interneall’impresa focus di analisi e quelle delleimprese a monte e a valle, ovvero, deipartner della catena di fornitura (v. defi-nizione del contesto).

� La gestione dei rischi nelle catene di fornitura �51

tteemmaa

> Figura 5 – Esempio di diagramma causa-effetto

VH

H

M

L

VL

Prob

abili

tà

Impatto

Matrice di rischio

Rischio grave: definizione di una azione immediata (con il coinvolgimento del Top Management)

Rischio Alto: definizione di soluzioni per ridurre o eliminare il rischio (responsabilità del Management)

Rischio moderato: definizione di azioni per mitigare il rischio (gestito dal responsabile nominato)

Rischio basso: gestito nell’ambito delle normali attività di routine del processo

> Figura 6 – Profilo di rischio dell’organizzazione focus di analisi

VL L M H VH

MaterialsSupply Problem

PoorScheduling

Failure toAchive Plan

InflexibleSystems

InadeguateSupplier

Management

CapacityConstraint

InadequateCommunications

ForecastingProblems

Poor ProcessControl

Failure to Deliver on Time

No StockAvalaible

CarrierPerformance

Lead-TimeToo Short

QualityProblems


La valutazione del rischio consente difornire un giudizio sulla eventuale accet-tabilità o necessità di azioni di mitigazio-ne per i rischi in esame. Se il rischio ètollerabile la valutazione può considerar-si conclusa, altrimenti è necessaria lascelta della misura di trattamento più op-portuna. In questa fase, le azioni di trat-tamento sono definite dal confronto tra ilprofilo di rischio risultante ed il livello dipropensione al rischio delle imprese edella catena di fornitura. Questa fase si conclude con la valuta-zione dei rischi che hanno bisogno ditrattamenti e le relative priorità di esecu-zione, sulla base del confronto del livel-

lo di rischio stimato nella fase di analisirispetto ai criteri di rischio stabiliti nellafase di definizione del contesto. Nessunaorganizzazione ha infatti risorse illimita-te che consentono di far fronte a tutte leminacce, è pertanto necessario classifi-care i rischi per livelli di priorità.Trattamento del rischioIl trattamento del rischio comporta la se-lezione di una opzione per la modificadella dimensione del rischio, la pianifi-cazione e la realizzazione delle misuredefinite. Queste attività determinano unadiminuzione della probabilità di insor-genza o la riduzione dei potenziali effettifino ad un livello di rischio residuo rite-

nuto accettabile (v. figura 6). Le opzionidi trattamento sono selezionate tenendoconto di alcuni aspetti, quali ad esem-pio: rapporto costo-benefici, rischio resi-duo, budget disponibile.Le attività di trattamento dei rischi nega-tivi possono essere classificate con le se-guenti tipologie:� Prevenzione (misure per la riduzio-ne della probabilità di un evento sfa-vorevole2);

� Protezione (misure per la riduzionedell’entità delle conseguenze di unevento sfavorevole);

� Ripristino (misure per recuperare lacontinuità operativa a seguito di unevento sfavorevole).

Le strategie di mitigazione dei rischi ne-gativi applicabili a una catena di fornitu-ra sono riportate in tabella 2.La selezione dell’opzione più opportunacomporta l’equilibrio tra il costo del trat-tamento rispetto ai benefici che si posso-no ottenere con la riduzione del rischioe può essere valutato per confronto delrisultato economico potenziale in assen-za di iniziative rispetto al costo della mi-sura di mitigazione. Le strategie di mitigazione dei rischi delModello 4T (EFQM) [8] possono esserecorrelate con la dimensione del rischio,come illustrato nella seguente figura.Il monitoraggio ed il riesame del riskmanagementÈ necessario monitorare i rischi per verifi-care l’efficacia e l’adeguatezza delle stra-tegie di trattamento, lo stato di esecuzio-ne delle attività pianificate e la loro cor-retta applicazione. Il riesame assicurache nuovi rischi emergenti non siano tra-scurati; cambiamenti nell’ambiente osemplicemente la disponibilità di infor-mazioni aggiornate possono rendere ob-solete le valutazioni iniziali. In questo ca-so, è sufficiente aggiornare le parti diret-tamente interessate dalla variazione, conl’inclusione di ulteriori azioni di mitiga-zione o la modifica di quelle in corso.

ConclusioniLa gestione dei rischi nella catena di for-nitura protegge la capacità di conseguire


> Tabella 2 – Strategie di mitigazione (fonte [8] con adattamenti)

Terminare

Trattare

Tollerare

Trasferire

Eliminare le attività che determinano l’insorgere del rischio in esa-me (e.g. dismettere specifici prodotti, abbandonare mercati inzone geografiche considerati non affidabili).Sviluppare azioni di controllo, prevenzione o protezione al finedi intervenire sui valori di probabilità di accadimento e di magni-tudo degli effetti o impatti (e.g. incrementare lo stoccaggio e l’usodi scorte di sicurezza; mantenere la disponibilità di extra capaci-tà produttiva e distributiva; utilizzo del postponement e scelta difornitori multipli).Decidere di accettare il rischio in quanto compatibile con il livel-lo di propensione definito. In questo caso viene comunque effet-tuato il monitoraggio attraverso , ad esempio, investimenti tecno-logici volti a migliorare la visibilità della supply chain, la condivi-sione di informazioni su esposizioni a specifiche fonti di rischio.Trasferire le conseguenze e l’impatto a terzi (e.g. subappaltandoad un terzo le attività che introducono il rischio; ad una compa-gnia assicurativa mediante una polizza adeguata; nel caso di unprodotto, informando l’utilizzatore del rischio intrinseco attraver-so istruzioni che spieghino la natura del pericolo e come evitarele conseguenze)

> Figura 7 - Strategie di mitigazione VS Dimensione del rischio

Trasferire

Trasferire Trasferire

Trasferire

Probabilità

Impatto



� Rubrica Anfia � 53RRuubbrriiccaa AAnnffiiaa

www.aicq.it

Le nuove responsabilitàpenali delle imprese in materia di ambienteModelli organizzativi per la prevenzione

Con l’approvazione del Decreto Legisla-tivo di recepimento della Direttive2008/99/CE sulla tutela penale dell’am-biente e della Direttiva 2009/123/CE,vengono sanzionate penalmente con-dotte illecite individuate dalla Direttivae fino ad oggi non sancite come reati evengono altresì introdotte nuove respon-sabilità per le Imprese, prima non previ-ste per i reati ambientali. Fra questi si ci-ta ad esempio: lo scarico, l’emissione ol’immissione illecita di un quantitativodi sostanze o radiazioni ionizzanti nel-l’aria, nel suolo o nelle acque; la raccol-ta, il trasporto, il recupero o lo smalti-mento di rifiuti, comprese la sorveglian-za di tali operazioni e il controllo dei sitidi smaltimento successivo alla lorochiusura, nonché l’attività di commercioo intermediazione nella gestione dei ri-fiuti; l’esercizio di un impianto in cuisono svolte attività pericolose o nellequali siano depositate o utilizzate so-stanze o preparazioni pericolose; la pro-duzione, la lavorazione, il trattamento,l’uso, la conservazione, il deposito, iltrasporto, l’importazione, l’esportazionee lo smaltimento di materiali nucleari odi altre sostanze radioattive pericolose.Conseguentemente alcune tipologie direati ambientali rientrano nel meccani-smo del Decreto 231/01, che dieci annifa aveva introdotto una nuovissima for-ma di responsabilità amministrativa del-le Imprese nell'ipotesi, tra gli altri, direati quali indebita percezione di eroga-zioni, truffa in danno dello Stato o di unEnte pubblico o per conseguimento dierogazioni pubbliche, concussione, cor-ruzione, frode informatica in danno del-lo Stato o di un Ente pubblico, reati so-cietari, delitti con finalità di terrorismo odi eversione dell'ordine democratico,

abusi di mercato. Successivamente, conla Legge 123/07 e poi con Il Testo UnicoSicurezza il campo di applicazione delD.Lgs. 231/01 è stato esteso anche aireati di omicidio colposo e lesioni gravio gravissime commessi con violazionedelle norme antinfortunistiche. Nel lu-glio del 2011, a questo lungo elenco siaggiungono anche alcune fattispecie direati ambientali. Per tutti i reati elencati, in aggiunta alleresponsabilità individuali, sono previstesanzioni pecuniarie e interdittive perl'Impresa: interdizione dell'eserciziodell'attività, divieto di contrattare con laPubblica Amministrazione, sospensioneo revoca delle autorizzazioni, licenze oconcessioni funzionali alla commissio-ne dell'illecito, esclusione da agevola-zioni, finanziamenti e contributi, divietodi pubblicizzare beni e servizi. LeAziende, tuttavia, possono esimersi dal-la responsabilità per i suddetti reati sedimostrano che l'organo dirigente haadottato ed efficacemente attuato, primadella commissione del fatto, Modelli digestione e di organizzazione idonei aprevenire reati della specie di quello ve-rificatosi; è stato affidato ad un dotato diautonomi poteri di iniziativa e controllo(Organismo di Vigilanza) il compito divigilare sul funzionamento e l'osservan-za dei modelli e di aggiornarli, infine,gli autori del reato lo hanno commessofraudolentemente.

ISO 14001: un utilestrumento di prevenzioneSebbene lo standard ISO 14001 non siarichiamato espressamente dalla normati-va, facendo un’analogia con quantoprevisto in materia di sicurezza sui luo-ghi di lavoro, dove è esplicitamente ri-

chiamato lo standard BS OHSAS 18001,i sistemi di gestione ambientale ISO14001 ed EMAS possono rappresentareun utile strumento di gestione aziendalee di prevenzione.L’importante contributo che l’adozione el’efficace attuazione di un sistema di ge-stione a fronte di una norma quale la ISO14001 può dare alla compliance azien-dale, è confermato anche da un’indaginecondotta da CERTIQUALITY presso circa200 Aziende clienti. Risulta infatti che lacertificazione ambientale apporta nume-rosi benefici: permette anzitutto di esserein regola con leggi e normative (8,61 inmedia), migliora l’immagine dell’aziendasul mercato (8,32); permette all’Aziendadi organizzare meglio i processi e di con-trollarli meglio (8,06); rende le Aziendepiù efficienti (7,58). Infine, gli intervistatihanno sottolineato che la norma ISO14001 facilita l’adempimento dei requisi-ti legislativi sulla responsabilità ammini-strativa d’impresa.Le Aziende certificate sono sicuramentefacilitate nell'introduzione e nell'appli-cazione di un Modello di organizzazio-ne e di gestione idoneo a prevenire ireati secondo quanto previsto dal D.Lgs.231/01, in quanto già predisposte in ter-mini organizzativi alla chiara attribuzio-ne e formalizzazione di ruoli e respon-sabilità. L’adozione di un sistema di ge-stione certificato secondo la norma in-ternazionale ISO 14001 dimostra dun-que una evidente utilità sia per le Orga-nizzazioni impegnate a rispondere alledisposizioni del D.Lgs. 231/01, sia pertutti coloro (Organismo di vigilanza, En-ti preposti al controllo, Pubblici Ministe-ri e Magistrati) che sono chiamati a va-lutare la completezza e l'efficacia deiModelli organizzativi adottati.

� Rubrica Certiquality � 55RRuubbrriiccaa CCeerrttiiqquuaalliittyy

Ing. Armando Romaniello Direttore Marketing e Industry ManagementCERTIQUALITY

>>

Per l’attività formativa, ove non indicata, visitare il sito http://aicqna.com/formazioneattivita/

luglio/agosto 2012

18-19 ottobreAudit interni di SGQ nel settore Alimen-tare19 ottobre- La Nuova UNI EN ISO 19011:2012.Cosa cambia quali sono le implicazio-ni- L’interpretazione dei requisiti nelleaziende software

22-26 ottobre Corso 40 h SGQ 22-23 ottobre Il processo di Audit del SGQ nei labora-tori24 ottobreAnalisi Ambientale Iniziale25-26 ottobreBusiness Planning: dalla Business Idea alBusiness Plan29-31 ottobre - Salute e Sicurezza dei lavoratori: ag-giornamento normativo- Capability Maturity Model (P-CMM)29-30 ottobreRedazione e gestione della documenta-zione del Sistema di Gestione per la Qua-lità31 ottobre Integrare la gestione dei Sistemi Quali-tà, Ambiente e Sicurezza

||MERIDIONALENapoli20-21 settembreLa UNI CEI EN ISO/IEC 17025: 2005 22-23 settembreI Sistemi di Gestione Ambientale 24 settembre- Corsi di aggiornamento per RSPP e ASPP- Introduzione SGSI24-25 settembreIl Controllo Statistico dei Processi1 ottobre- Introduzione ai SG dei Servizi IT- La norma ISO/IEC 27002 1-2 ottobreProject Management1-3 ottobre- Corso ISO/IEC 20000 per Internal Au-ditor

1-3 ottobreCorso 24h Valint SGQ8-10 ottobreCorso 24h Valint SGQ aerospaziale9-10 ottobreLa statistica che serve in azienda11-13 ottobreCorso base Mystery Auditor16-19 ottobreCorso 24h Valint SGA e SGS

||CENTRO INSULARE Roma 1-3 ottobreLa norma UNI EN ISO:2008 e SGQ2-3 ottobreStrategic Management: Corporate e Bu-siness Strategies3 ottobreIntroduzione al Software Measurement 4-5 ottobre- La gestione dei laboratori di prova e ta-ratura secondo ISO/IEC 17025- Qualità dei servizi IT: un modello pra-tico per la pianificazione della qualità,la customer satisfaction e la gestionedegli SLA

8-9 ottobre- Sistema di Gestione per la Sicurezza- Sistemi di Gestione Ambientale10 ottobreI processi del ciclo di vita del softwaresecondo la ISO/IEC 1220710-12 ottobreCorso 24h Valint SGQ 11 ottobreLa gestione della configurazione del soft-ware e le norme di riferimento 12 ottobreIl Sistema di Gestione Aziendale e la Re-sponsabilità Amministrativa15 ottobreLa UNI EN ISO 9004:200915-17 ottobreIl SGQ nello sviluppo e manutenzione del software e la certificazione ISO 9000 16 ottobreSupply Chain Management17-18 ottobreValint SGS

||CENTRONORD Milano19-21 settembreLe ISO 9001:2008. Principi, contenutied esercitazioni. 24-28 settembreCorso 40 h SGQ 1-2-3 ottobreCome sviluppare la documentazione delSistema di Gestione Ambientale4 ottobreProcessi affidati all’esterno (outsourcing):come identificarli e tenerli sotto control-lo 8-9 ottobreCriteri e metodi per progettare e docu-mentare un SGQ10 ottobreLo standard BS OHSAS 18001/2007 co-me strumento del t.u. sulla sicurezza d.lgs81-08 (art.30)12 ottobreAffrontare pianificazione, riesame, veri-fica e validazione della progettazione

17 ottobreGli indicatori di prestazioni aziendali=indicatori per competere17-19 ottobreCorso di formazione Valint SGQ 22-23 ottobreLa valutazione della conformità legisla-tiva ambientale 29-31 ottobreCorso di formazione Valint SGQ 30 ottobreCome integrare SG con i contenuti in sin-tesi della specifica BS PAS 99/2006

||PIEMONTE Torino20-21 settembreEnterprise risk management25 settembreQuality Function Deployment 26-28 settembreIntroduzione alla lean production27-28 settembre- Strumenti per il controllo statistico diprocesso- Introduzione ai SGQ

www.aicq.it

56ccoo

rrssii


Documents

IL MESTIERE DEL VALUTATORE - aicqna.itaicqna.it/wp-content/uploads/2017/02/AICQ_4_2012.pdf · dibilità delle certificazioni; Il primo orien - tato a incrementare significativamente