- XL TEAM
News | La prima regola di un Sistema di Gestione
Qual è la prima regola di un sistema di gestione? Non si parla mai del sistema di gestione. E qual è la seconda regola di un sistema di gestione? Non si deve parlare MAI, del sistema di gestione.
Alcuni tra gli amanti cinefili avranno sicuramente riconosciuto la “velata” citazione del film cult Fight Club tratto dall’altrettanto celebre romanzo dell’autore Chuck Palahniuk, pubblicato nel 1996; la frase, però, non vuole essere solo un modo intrigante di iniziare un articolo, ma vuole condurre il lettore ad una vera e propria riflessione sul metodo di approccio ad uno schema di certificazione, qualunque essa sia (9001, 14001, 45001, 27001, etc)
Sicuramente avere chiara la norma, sarà uno dei passi fondamentali, l’analisi dei rischi, gli obiettivi, i KPI, le procedure corredate della modulistica necessaria. Ma, come spesso succede, fino a che “si parla del sistema di gestione” non si coglie il punto fondamentale di partenza.
Infatti, prima di iniziare a pensare a quello che “vuole” la norma, dobbiamo capire in primis quello che abbiamo in casa e quello che serve da un punto di vista prettamente legislativo. Troppo spesso sentiamo dire “ma se mi certifico 45001 sono di conseguenza a posto con la sicurezza (sul lavoro)” oppure “se certifico l’azienda secondo la 27001 sono automaticamente conforme al GDPR” … non è proprio così. Diciamo invece che, al fine di conseguire la certificazione 45001 dovrò necessariamente essere conforme alla legislazione in materia di salute e sicurezza sul lavoro, così come per la 27001 dovrò in almeno essere conforme alla privacy e così via per tutti gli aspetti cogenti legati al core business dell’organizzazione.
È stato proprio il caso di un’azienda che abbiamo seguito recentemente che si certificata 14001 e 9001. Morale della favola? La manutenzione delle caldaie veniva effettuata da anni con la collaborazione di un’azienda che non aveva le credenziali per poter effettuare gli interventi. Stiamo parlando di caldaie con potenze superiori a 350 Kw e, come vuole appunto la legge vigente, per tali potenze l’azienda manutentrice non solo deve avere le abilitazioni necessarie ma anche essere a sua volta certificata ISO 9001 (sto semplificando). C’erano poi altre problematiche, sempre di stampo legislativo, ma tutte derivanti da una problematica comune. La mancanza, alla base, di una consapevolezza della propria realtà interna e dei requisiti di legge applicabili.
Ecco che quindi ritorniamo alla frase iniziale. Bisogna in primis evitare qualsiasi discorso normativo, e bisogna effettuare il classico censimento, inventario, elenco assets (chiamatelo come volete) al fine di avere piena coscienza di quello che si ha “in casa” con analisi dei requisiti cogenti applicabili. Se sto approcciando una 45001, banalmente, devo essere conforme con gli addestramenti necessari per antincendio, primo soccorso, carrellisti, lavori in quota, etc., se sto invece approcciando una 27001 dovrò effettuare un elenco di tutte le informazioni trattate, i dati personali, sensibili, gli assets di elaborazione e così via.
In conclusione, quindi, questo è un metodo da seguire sempre per non correre dietro alle problematiche che comunque sorgeranno in seguito e che affrontate in un secondo momento vi porteranno ad un inevitabile e maggiore spreco di tempo, costringendovi alle classiche corse ai ripari. Qual è quindi la prima regola di un sistema di gestione?
Se siete interessati ad approfondire l’argomento o ad effettuare una valutazione della vostra siamo a vostra disposizione.
Alessandra Perini
335 774 7884