Post on 17-May-2015
description
transcript
Il sistema di servizio
La nostra missione professionale è aiutare concretamente i dirigenti di impresa o
ente economico, profit o non profit, a focalizzare, descrivere, divulgare, comunicare
e mettere in pratica, mediante interventi organizzativi, politiche di innovazione nel
rapporto con gli stakeholders, che essi ritengono atte a garantire e sviluppare in
modo sostenibile il valore delle loro organizzazioni
ISTITUZIONI
ISTITUTI DI CREDITO
LAVORATORI
COMUNITÀ SOCIALE
FORNITORI E OUTSOURCERS
AMBIENTE FISICO
valore di impresa basato su una
redditività di lungo periodo
CLIENTELA
PROPRIETÀ
IMPRESA
La missione RBC
AMBIENTE INFORMATIVO
INNOVAZIONE
Il sistema di servizio
Le competenze riassumono concrete esperienze sviluppate in modo originale nell’ambito di
significative realtà organizzative e metodologie reperite nel knowledge mondiale .
Il nostro gruppo di lavoro è focalizzato nel fornire servizi professionali volti a mettere sotto
controllo i principali rischi operativi aziendali soggetti a contromisure organizzative e
tecnologiche, liberando risorse manageriali altrimenti sottratte al core business dell’azienda.
ResponsabilitàSociale
d’impresaSalute e
Sicurezzadel
personale
BusinessSecurity &Continuity
Governance Risk
management
Gestione ambientale
e territoriale
Energia
CO2 sostenibilità
CoreBusiness
Le aree di competenza
INNOVAZIONE
I servizi sono tesi a progettare
e fornire sistemi organizzativi
funzionanti con personale e
risorse interne o esterne con
un bilanciamento ottimale tra
costi, benefici intesi come
riduzione dei costi virtuali per
danni, degrado, incidenti e
come miglioramento
dell’efficienza per l’utilizzo
delle risorse aziendali.
Strumenti
Gli strumenti
INNOVAZIONE
Reporting e
Accountability
Responsabiltà d’impresa
GRI,GBS AA1000
Gestione adeguatezze
Codici e princìpi
ONU-OCSE
Corporate
Governance
Sistemi e Modelii
L.231, Saubranes.Oxley.
Gestione rischio
Qualità prodotto
ISO 9001 e derivate
Gestione Etica
Standard
SA8000
Gestione conformità
leggi locali
Gestione ambientale
Sistemi di Gestione
ISO 14001 - EMAS
Bilanci sociali e
di sostenibilità
Triple bottom line
Gestione Privacy l.196
Sicurezza informazioni
BS 7799
l. 626, sicurezza lavoro
OHSAS 18001
Gli strumenti
I servizi sono tesi a progettare e fornire sistemi
organizzativi funzionanti con personale e risorse interne
o esterne con un bilanciamento ottimale tra costi,
benefici intesi come riduzione dei costi virtuali per
danni, degrado, incidenti e come miglioramento
dell’efficienza per l’utilizzo delle risorse aziendali.
Sistemi e Modelii
Per l’Innovazione
• Le imprese per raggiungere i loro fini, seguono politiche e strategie, trasformate poi in tattiche che incidono sia sugli aspetti patrimoniali che economici, e poi tecnici e commerciali, di gestione risorse umane ecc.
• Parallelamente oggi devono tenere anche conto delle regole, convenzioni scritte e non, leggi, accordi, norme e regole tecniche che regolano in modo adattivo e sempre in evoluzione i loro rapporti con i soggetti interessati, denominati “stakeholders”
• La corretta gestione di queste regole di rapporto, che in alcuni casi sono anche “verificate” e certificate da enti terzi, preposti a farlo, servono sia a facilitare la vita dell’ impresa, a tutelarne proprietà e dirigenti, ma soprattutto a prevenire i rischi che la non gestione corretta dei rapporti provocherebbe .
• Quindi le imprese investono risorse umane e materiali , organizzano entità interne, generano relazioni , studiano piano comunicativi , al fine di tutelarsi dai rischi sottesi alla non gestione dei questi rapporti.
• In generale tutte le attività sia di gestione che di accountability, (rendicontazione) di ciò che si fa e di certificazione sono comprese nel temine generico di “Corporate social responsibility”, definizione che si applica in modo molto particolare a tutte le imprese, pubbliche e private, dove l’etica del management svolge un ruolo essenziale nel rapporto proprietà- concentrata o diffuse e stakeholders, come nel caso delle compagnie pubbliche.
• Le attività suddette necessitano di
organizzazione interna ( definizione ed accettazione di ruoli) addestramento , formazione, tecnicalità ed operatività.
• La nostra consulenza si inserisce appunto nella parte di adeguamento e miglioramento organizzativo di aziende, grandi o medie, per aiutare in modo professionale il management a ottimizzare gli strumenti esistenti e/o dotarsi degli strumenti culturali, sia di piattaforma che di dettaglio , per affrontare queste tematiche, suddividendole in dimensioni ed insiemi di valori.
I rapporti con gli stakeholder
ISTITUZIONIISTITUTI DI CREDITO
LAVORATORI
COMUNITÀ SOCIALEIMPRESE DI
FORNITURA
ALTRI FRUITORI DI BENI AMBIENTALI
Prelievo, restituzione
Danni o vantaggi
Tasse-Imposte, permessi, regole leggi
Poteri, Capitale di finanziamento
Stipendi, benessere,salute, tempo dedito
Benefici o prevaricazioni
Prodotto, qualitàFatturato
Transazioni materiali e finanziarie, sviluppi
comuni, mercato
Idea imprenditorialeCapitale proprio
Sua remunerazione
(PROFITTO)
valore di impresa basato su una redditività di
lungo periodo
CLIENTELA
PROPRIETÀ
IMPRESA
• Il tema unificante che abbiamo individuato riguarda da un lato le necessità delle aziende di trovare un interlocutore unico per le differenti problematiche che comunque si riferiscono tutte ai moderni requisiti per una gestione aziendale sicura, corretta, economica ed etica, riassumibile come “sviluppo sostenibile” e dall’altro le metodologie per la gestione di sistemi di supporto alle varie norme/standard che appaiono ormai convergere in un quadro organico sintetizzato ad esempio dallo standard AA1000.
• Lo sviluppo sostenibile (negli aspetti economici, nell’ambiente, nel mercato e nel tempo) è definito da :
• Utilizzo economico, etico, rispettoso del sociale ma efficiente delle risorse umane, secondo le leggi nuove italiane
• Utilizzo efficiente, economico, delle risorse materiali con attenzione all’inquinamento ed al degrado dei materiali e dell’energia
• Soddisfazione dei clienti e fornitori della filiera e eccellenza qualitativa nelle forniture con gestione accurata dei parametri di qualità e dei requisiti
• In particolare il tema del personale unifica la sicurezza lavoro (legge e standard OSHAS) e la responsabilità sociale SA 8000, il tema ambientale comprende gli aspetti di prelievo risorse fisiche e rilascio scarti ( gas, rifiuti solidi, liquidi , gassosi, e degrado energia e calore)
• Sostenibilità significa non utilizzare oggi le risorse di domani ma qui si intendono risorse non solo economiche ma anche materiali , ambientali e immateriali .
La sostenibilità come tema unificante
• I temi della RSI o CSR , sostenibilità, adeguamento etico aziendale sono oggi emergenti e di fatto trainanti nel quadro dello stesso cambiamento dell’approccio di istituzioni pubbliche o para pubbliche (es Camere di Commercio, Industria, artigianato e agricoltura, Comuni, entità provinciali, ospedali) e di aziende private.;
• Sempre più soggetti si stanno chiedendo se l’orientamento alla soddisfazione degli “stakeholder” può essere un fattore economico importante, in relazione a ricerca di miglioramento operativo, immagine commerciale o accesso a finanza etica, oppure anche solo per una semplice mitigazione dei rischi agli amministratori.
• Il tema del rispetto agli stakehoders critici riguarda l’economia dell’azienda, la finanza, gli azionisti, i fornitori e clienti in termini sia di etica che di forniture dei servizi e prodotti conformi alle esigenze esplicite ed implicite ed ai i requisiti cogenti ( qualità, conformità, rispetto leggi, certificazioni di prodotto e sistema
• Le aziende cercano oggi di trovare un interlocutore unico per le differenti problematiche che comunque si riferiscono tutte ai moderni requisiti per una gestione aziendale sicura, corretta, economica ed etica.
• Le metodologie per la gestione di sistemi di supporto alle varie norme/standard appaiono ormai convergere in un quadro organico sintetizzato ad esempio dallo standard AA1000.
Alcune competenze salienti su temi emergenti, sono riassumibili nel concetto di
“Qualità Sostenibilite di impresa”,
a fronte dei mutati “rapporti di rischio” con gli “stakeoholder”,
per fornire al cliente soluzioni per razionalizzare i processi aziendali e migliorare le
performance grazie all’impiego di specialisti delle diverse metodologie.
• A) Ambiente + Energia (corretto uso)+ Mobilità Urbana e relative certificazioni
• Il tema ambientale diventa oggi sempre più attuale, e al suo interno emerge prepotentemente il problema del corretto utilizzo dell’energia elettrica, del riscaldamento e della combustibile per mobilità.
• Pertanto nel quadro degli schemi ISO 14001 in via di lenta diffusione anche per organizzazione di dimensioni contenute, riteniamo di approcciare con un rosa di esperienze e servizi.
• B) Modalità di trattamento del personale in relazione alle nuove leggi+,sicurezza lavoro+ relative certificazioni
• La legge Biagi apre nuove possibilità che le aziende associate sanno sfruttare o occorre loro una guida sicura, anche per abbinare alle esigenze economiche le esigenze legare alle emergenti norme di etica sociale SA 8000.
• C) Estensione privacy nella sicurezza delle informazioni e relative certificazioni
• La privacy sta costringendo le aziende a pensare a come prendere provvedimenti legali, organizzativi e tecnologici per proteggere i dati definiti dalla legge, ma quali altri dati vanno protetti, e come estendere l’analisi di rischio alle informazioni interne, con quali costi?
• La parte legale della privacy si basa su
un’organizzazione efficiente di sicurezza e di continuità, con le radici nella gestione ICT
• E poi le attività, specie le piccole, hanno adeguati sistemi di continuità e di gestione delle crisi, delle frodi, i loro siti sono adeguati , come si difendono da falsi indirizzi internet ?
Le tematiche emergenti
• D) Evoluzione dei sistemi qualità ISO 9001.2000 e relative certificazioni
• Quasi tutte le aziende classificabili come leader nei loro settori oggi hanno avviato sistemi qualità conformi alle norme ISO, per lo più si tratta ancora di assicurazione qualità, praticamente allineati alla norme del ’94, oggi superate dall’edizione del 2000 che parlerebbe di gestione-governance della qualità .
• Aiutiamoli ad arrivarci, magari con specifiche competenze sui contenuti di qualità di settori quali li servizi alle imprese, il software, il commercio, oggi particolarmente arretrati e affianchiamoli nel difficile obiettivo di utilizzare in modo pratico gli investimenti fatti per conseguire i sicuri benefici.
• Aiutiamoli a condividere la comprensione del passaggio da assicurazione a “gestione”, in modo coerente sulla gestione dei dati della qualità ( c’è una nuova norma UNI 11097) e ad una definizione degli indirizzi provenienti da un rilevo ben fatto della soddisfazione clienti come descritto dalla UNI 11098.
• E) Responsabilità di impresa
• Lo sviluppo significa economia, bilancio positivo tra entrate ed uscite, quindi occorre concentrasi sul lavoro fatto bene, sui fatturati, curando che i costi siano gestiti in modo professionale.
• Un corretto rapporto col mondo non solo economico ma con l’ambiente di interesse di tutti i portatori di interesse, La città, il paese, gli azionisti, le associazioni, Il tema compendia dunque quanto sopra e rappresenta
I principali servizi nell’area Human Resources
innovazione&
Qualità
Ascolto mercato e posizionamento customerSistemi di gestione dell'innovazione:.Quality Function DeploymentAnalisi stakeholders: Individuazione interessati a riconversioni Scenari istituzionali: Responsabilità da prodotto,Tutela ProdottoCertificazioni di prodotto e sistemaAdeguamento riesame sistemi di gestione QualitàAudit di conformità della gestione controllata processiMiglioramenti di qualità di processi e prodotti Cautela l’azienda dai rischi sottoposti a responsabilità di prodotto e violazione delle leggi inerenti Rilevazione efficienza dell’impresa,soddisfazione dei Clienti,clima internoKPI- INDICATORI DI PROCESSO (Balanced Scorecards EFQM, 6 SIGMA)Adeguamento QUALITA’ di FILIERA (Software, automotive, alimentare )Advisory su NORME SPECIALI ( BRS,ISF, 9000-2, 9126, 12207)CERTIFICAZIONI DI PRODOTTOCERTIFICAZIONE PER ESPORAZIONE IN CINA
BusinessSecurity &Continuity
Governance&
Risk management
Gestione integrata del rischio d’impresaSistemi informativi di risk management, Prevenzione uscite gestione turn over, Assistenza, ricerca e selezione di risk managersMetodologie per la gestione del rischio,Metodologie per l’assicurazione del rischio residuoRisk assessment procedurale legge 231
Business Continuity & Security,Sicurezza della DirezioneProtezione delle informazioni DL 196:2003 PRIVACYApplicazione delle leggi sull’accesso ad internet nel quadro dei rapporti di lavoroAdeguamento di infrastrutture webGestione controllata della informazioni Sistemi di continuità del knowledgePiani di sicurezza procedurale ed organizzativa.Risk assessment e management ICT securitySistemi di gestione sicurezza ( BS7799/ISO 17799, Cramm, Cobit, Common Criteria, SMM) Auditing sicureza fisica logica ed amministrativaMarchi di sicurezza per transazioni webAssistenza alle certificazioni Trust Mark iKnowledge management sicuroFormazione sui temi relativiAssistenza alla ricerca e selezione
I principali servizi nell’area Responsabilità del Management
I principali servizi nell’area Human Resources
Gestione collagamento(Comunità, Enti Locali, Stato)Gestione impatto ambientaleAnalisi di impatto , VEI, Analisi tecnicheProgettazione emessa in atto di sistema di gestione dell’Impatto ambientale (ISO serie 14000/1:1996, Emas.Asssessment processi produttiviAuditingIntroduzione /integrazione su SQSistemi informativi ambientaliAssistenza alle certificazioniFormazione sui temi relativiRicerca e qualifica partner: Integrazione fattori produttivi, Supply chainStakeholder engagement ,SA 8000Piattaforme culturaliCoerenza leggi, EU, SOA. Analisi di impatto Responsabile, Assessment territorialeProgrammi di valorizzazione territoriale
ResponsabilitàSociale
d’impresa
Stakeholder assessment Stakeholder engagementRedazione del Bilancio Sociale, Animazione gruppi di awarness,Formazione sui temi relativi,Advisory AA1000Controllo di gestione allargato agli indicatori del Bilancio-SocialeAnalisi procedurale legge 231, dl 196Auditing di processi di governanceComunicazioneStrategia di gestione stakeholderAffiancamento a cambio generazionaleAffiancamento alla globalizzazioneIntermediazioniFornitura membri di organismo di controllo
Salute e Sicurezza
Gestioneambientalee territoriale
I principali servizi nell’area Responsabilità e Sostenibilità d’Impresa
Interventi tesi a valorizzare le Risorse Umane e garantire sicurezzaProgrammi di miglioramentoAuditingGestione e revisione di sistema di gestione del personale (SA 8000)Formazione, scelta skillSistemi di Safety (l.626, OHSAS serie 18000/1)Empowerment del personaleFormazione psicologicaAdeguamento multi etnico Prevenzione uscite gestione turn over,Assistenza alla ricerca e selezione
Servizi di valutazione alternative energetiche Programmi di energy savingsValorizzazione combustibili alternativi (mercato CO2 volontario)Certificare l’impatto energetico degli edifici (Qualità ambientale delle costruzioni)
Procedure di calcolo per Protocollo di Kyoto Cdm-JitAuditing
Market CO2 ed
Energia
• L'Enterprise Risk Management (ERM) è un approccio, globale e integrato, alla gestione dei rischi d'impresa, secondo cui è possibile prendere decisioni sui rischi in base a criteri razionali e quantitativi.
• La crescente diffusione dell'ERM è dovuta a numerosi fattori. In primo luogo vi è la consapevolezza che ai rischi finanziari e assicurativi tradizionali si aggiungono nuovi elementi di vulnerabilità (ad esempio aggressioni commerciali da parte delle imprese dei paesi emergenti, terrorismo internazionale, sicurezza dei dati e dei sistemi informatici) che richiedono nuovi strumenti di trattamento.
• Vi è poi l'esigenza di comunicare agli stakeholder che i rischi d'impresa sono adeguatamente individuati, monitorati e trattati, al fine di assicurare continuità alle attività aziendali e contribuendo così al processo di creazione e diffusione di valore.
• Infine, ma non ultimo, l'ERM fornisce un nuova visione con la quale è possibile affrontare il futuro e l'incertezza, passando da un approccio passivo e/o fatalistico a uno proattivo, consapevole e razionale.
• Perfettamente fruibile anche da coloro che non hanno conoscenze statisticomatematiche avanzate, il volume illustra gli elementi fondamentali dell'Enterprise Risk Management facendo ampiamente ricorso a casi ed esempi numerici.
Enterprise risk management
CostiProbabili
PerDanni
Budget gestione rischi ----------------------------------------
Livello residuo (accettabile )di Rischio
Area di probabilità rischio-costi per
danni
Volumi di investimento(Costi certi)
Zona dirischio gestito Livello di
investimentoNecessario a raggiungere il
Livello accettabile di
rischio
RischioNon precisato,
potenzialmente Infinito
Attacchi da personale infedele
Misure penali per corruzione
Contenzioso da clienti per
difettosità prodotti
Servizi inadeguati
Non conformità di
Qualità
Contenzioso con fornitori
per inadeguatezze
contrattuali
Incidenti di sicurezza
lavoro
assenze
Decadimento immagine per gestione non responsabile
Incidenti ambientali
o trasporto
Furti di informazioni o
violazioni privacy dei
terzi
Attacchi informatici e
per posta elettronica
Human engineering
……….. Nel viaggio può incontrare dei rischi …………….. Nel viaggio può incontrare dei rischi ……
DIREZIONE (PLAN)Politica ed Obiettivi
Organizzazione Mezzi e Risorse
processi aziendali mirati al raggiungimento degli obiettivi
individuazione delle cause azioni correttive e preventive
SISTEMA ORGANIZZATIVO (DO)
MIGLIORAMENTO (ACT)
MISURAZIONE (CHECK)
monitoraggio degli obiettivi
Ciclo di miglioramento continuo
Servizi a Clienti
Innovazione e qualità
Business Continuity & Security
Governance & Risk Management
Gestione integrata del rischio d’impresaSistemi informativi di risk management, Prevenzione uscite gestione turn over, Assistenza, ricerca e selezione di risk managersMetodologie per la gestione del rischio,Metodologie per l’assicurazione del rischio residuoRisk assessment procedurale legge 231
Business Continuity & Security,Sicurezza della DirezioneProtezione delle informazioni DL 196:2003 PRIVACYApplicazione delle leggi sull’accesso ad internet nel quadro dei rapporti di lavoroAdeguamento di infrastrutture webGestione controllata della informazioni Sistemi di continuità del knowledgePiani di sicurezza procedurale ed organizzativa.Risk assessment e management ICT securitySistemi di gestione sicurezza ( BS7799/ISO 17799, Cramm, Cobit, Common Criteria, SMM) Auditing sicureza fisica logica ed amministrativaMarchi di sicurezza per transazioni webAssistenza alle certificazioni Trust Mark iKnowledge management sicuroFormazione sui temi relativiAssistenza alla ricerca e selezione
Ascolto mercato e posizionamento customerSistemi di gestione dell'innovazione:.Quality Function DeploymentAnalisi stakeholders: Individuazione interessati a riconversioni Scenari istituzionali: Responsabilità da prodotto,Tutela ProdottoCertificazioni di prodotto e sistemaAdeguamento riesame sistemi di gestione QualitàAudit di conformità della gestione controllata processiMiglioramenti di qualità di processi e prodotti Cautela l’azienda dai rischi sottoposti a responsabilità di prodotto e violazione delle leggi inerenti Rilevazione efficienza dell’impresa,soddisfazione dei Clienti,clima internoKPI- INDICATORI DI PROCESSO (Balanced Scorecards EFQM, 6 SIGMA)Adeguamento QUALITA’ di FILIERA (Software, automotive, alimentare )Advisory su NORME SPECIALI ( BRS,ISF, 9000-2, 9126, 12207)CERTIFICAZIONI DI PRODOTTOCERTIFICAZIONE PER ESPORAZIONE IN CINA
GRM Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interni
SicurezzaFisica
SicurezzaLogica
OrganizzazioneSicurezza
Rischi legati al non rispetto di leggi cogentiArea Qualità
Consulenza per integrazione sistemi di gestione qualità, ambiente, safety, sicurezza, etica, web marketing
Progettazione sistemi organizzativi di gestione qualità ISO9001:2000
Politiche, Obiettivi e misurazioni
Gestione outsurcing processi qualità
Documentazione web
Verifiche ispettive
Project management programmi di miglioramento
Valutazione Marchi per siti web
Servizi a ClientiServizi a Clienti
GRM Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interni
SicurezzaFisica
SicurezzaLogica
OrganizzazioneSicurezza
Rischi legati al non rispetto di leggi cogenti
Area Processi
Consulenza per reingegenerizzazione processi
Programmi di miglioramento continuo
Benchmarking
Balanced scorecards
Process innovation
Applicazioni ERP e derivate
Servizi a ClientiServizi a Clienti
GRM Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interni
SicurezzaFisica
SicurezzaLogica
OrganizzazioneSicurezza
Rischi legati al non rispetto di leggi cogenti
Area Sicurezza IT
Consulenza per adeguamento misure minime c
Progettazione sistemi organizativi di gestione della sicurezza riferiti BS7799-2
Redazione di security policies
Risk Assessment e management
Statement of applicability
Selezione tecniche e controlli
Documentazione sistema
Business continuity plans
Verifiche
Predisposizione alla certificazione
Servizi a ClientiServizi a Clienti
GRM Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interni
SicurezzaFisica
SicurezzaLogica
OrganizzazioneSicurezza
Rischi legati al non rispetto di leggi cogenti
Area law compliance
Consulenza leggi ambientali, ISO 14.000:1996
Consulenza Privacy
Consulenza Sicurezza lavoro OSHAS 18.000
Consulenza Social accountability SA 8000
Servizi a ClientiServizi a Clienti
Banche, finanziarie, assicurazioni
Operatori di e-business
Servizi professionali alle Imprese
Aziende manufatturiere, Logistica
AMBITI
Aziende commerciali, distribuzione
Utilities e servizi Pubblici
Turismo e servizi di trasporto
BENEFICI
Customer retention & improvement
Sicurezza lavoro, HR retentionProtezione legale dei dirigenti
Coerenza e sincronizzazione processi
Aderenza alle leggi e politiche Protezione legale dei dirigenti
Continuità del business Protezione legale dei dirigenti
Immagine, brand, considerazione della comunità
Trust & confidence interna ed esterna
METODI
Gestione controllata della qualità
Ottimizzazione sistemi e ottemperanza leggi
Pianificazione del miglioramento
Gestione dell’impatto ambientale
Integrità, disponibilità, riservatezza delle informazioni
Monitoraggio aspetti etici del business
Verifica applicazione leggi, policies e/o standard
Gestione globale dei rischi aziendaliper :
Gestione globale dei rischi aziendaliper :
Progettazione, avviamentoe gestione sistemi qualità
Sistemi integrati safety-legale
Programmi di miglioramento performance processi
Progettazione, avviamentoe gestione sistemi ambientali
SERVIZI
Programmi di protezione delle informazioni aziendali
Consulenza etica del lavoro
Auditing e valutazione
ISO 9001 e derivate di settoreHarringthon
OHSAS 18000, legge it/EU
ISO 9004- EFQM, Balanced scorecard
ISO 14000-Harringhton
BS 7799, Cobit, crammISO 13335 ISO 15408
SA 8000
ISO 30011, ISACA EB trust, ISEC
Perdita di clienti, reclami, resi
Perdita risorse, turnover, malattie
Processi in deriva scarti, perdite, rifacimenti
Azioni legali, contenziosi,sanzioniPubblicità negativa
Furti di informazioni, divulgazione Segreti, virus, interruzioni business
Decadimento percezione pubblica del brand
Carenza di fiducia del mercato
OBIETTIVI
RISCHI
Svalutazione azioni
Massimizzazione valore azioni
Significato di Gestione Globale del rischio operativo
La gestione strategica dei rischi è un’area dell’organizzazione che rientra in quella più ampia della programmazione, intesa come l’impostazione di una serie di attività (in base a previsioni di tempi e di costi) per raggiungere obiettivi
determinati a monte.
(Relazione Rinaldo Albanesi, A.D. Swaroski Italia, cena strategic risk management, Milano, 18-6-02)
Vision dell’orizzinte di rischio
In fase di programmazione è importante poter far conto sul coinvolgimento di tutte le componenti che lavoreranno al programma di gestione dei rischi, dato che la condizione primaria è la sua accettazione da parte delle varie funzioni aziendali. A seconda dell’arco di tempo preso in considerazione, i programmi aziendali possono essere definiti a:
Lungo termine
La politica di rischio a lungo termine può essere paragonata a una sorta di dichiarazione d’intenti dell’impresa.
In pratica è l’elenco dei propositi di prevenzione dei rischi che l’impresa dichiara di voler mettere in atto per il raggiungimento dei propri obiettivi nell’arco dei prossimi 5/6 anni.
Medio termine
La risk policy a medio termine (due o tre anni) contiene maggiori elementi di concretezza rispetto a quella a lungo termine, perché si incomincia a intravederne l’ossatura strategica.
Breve termine
La policy di rischio a breve termine è quella più importante per la gestione dei rischi. Infatti, una volta stabilite le linee politiche da seguire (programmazione a lungo termine) e le linee strategiche da attivare (programmazione a medio termine), la programmazione a breve fissa gli obiettivi e tutte le iniziative da intraprendere nel corso del periodo (generalmente un anno) per proteggere di fatti l’azienda.
Significato di Gestione Globale del rischio operativo
GLI IMPREVISTI/FATTI O SITUAZIONI ECCEZIONALI
L’impresa attraverso la programmazione stabilisce le linee operative che verranno applicate così come previsto, a meno che non intervengano fattori di disturbo tali da rendere necessarie azioni specifiche.
Questi possono sorgere all’interno della stessa impresa, oppure dal contesto socio-economico nel quale opera. Elementi imprevisti possono provenire dal personale, dal mercato, dai prodotti, da forti iniziative della concorrenza, dall’improvvisa mancanza di risorse o dalla comparsa di innovazioni scientifiche e tecnologiche, da mutamenti importanti dello scenario politico, economico, sociale del Paese o del contesto internazionale. Non bisogna, inoltre, dimenticare eventi catastrofici, atti di terrorismo se non addirittura situazioni belliche. In altre parole fatti o situazioni eccezionali che costringono l’impresa a rapidi cambiamenti di rotta rispetto ai programmi originari.
L’analisi delle potenziali aree di rischio così come le azioni atte a gestirle dovrebbero trovare spazio nella stesura programmatica. Quest’ ultima pur redatta in funzione di obiettivi concreti e vincolanti dal punto di vista degli impegni operativi, dovrebbe essere sempre improntata al concetto della ripartizione del rischio.
Il management dovrà essere ben conscio che le linee guida, alla luce dell’evolversi delle situazioni, potranno subire modifiche, se non addirittura mutamenti radicali e pertanto dovrà dotarsi a monte di piani, strumenti e mezzi necessari.
Significato di Gestione Globale del rischio operativo
PIANO per il RISK MANAGEMENTOgni piano di gestione rischi dovrà essere formulato realisticamente, cioè tenendo conto delle dimensioni e delle
disponibilità economiche della singola impresa.Ogni azienda costituisce un caso a sé e come tale va considerata.Ogni struttura possiede elementi specifici che debbono essere sempre tenuti in evidenza. Infatti al verificarsi di una
situazione di rischio:· Un’ impresa di grandi dimensioni, se avvantaggiata dal fatto di poter contare su numerose forze interne,
potrebbe essere penalizzata dalla propria complessità e lentezza nell’agire. In questo tipo di aziende, uno dei maggiori problemi è il rallentamento nel flusso di informazioni interne. Ciò spesso causa problemi nel porre in atto azioni incisive. Il fenomeno è probabilmente imputabile alla complessità burocratica di queste strutture unita alla sottovalutazione dell’importanza della comunicazione come plus alle attività delle altre funzioni e dell’organismo nel suo insieme.
· Un’impresa con un notevole “utile” potrà facilmente programmare con ampiezza di mezzi, facendo ricorso anche a forze esterne.
· Un’ impresa medio – piccola o addirittura piccola (in Italia sono la maggioranza) avrà meno strumenti esterni a sostegno e dovrà quindi contare prevalentemente sulla sua struttura. Questo può costituire, addirittura, un vantaggio per la maggiore agilità e rapidità con la quale l’azienda potrà muoversi e reagire.
Tenuto conto di questi fattori, la gestione del rischio è un piano indispensabile per coordinare tutte le risorse di cui un’impresa dispone al fine di ridurre al minimo le conseguenze negative al verificarsi di una situazione eccezionale.
Significato di Gestione Globale del rischio operativo
Nella programmazione e conseguente gestione delle situazioni di gestione rischi si deve innanzitutto decidere le responsabilità dirette. Per ogni funzione/persona chiave dovranno essere specificati quali compiti svolgerà direttamente, e quali saranno eseguiti da altri alle sue dipendenze. In caso di ricorso a risorse esterne occorrerà decidere sin dall’inizio la catena di comando in modo che al verificarsi della situazione di gestione rischi e sotto la spinta di fattori contingenti e di pressione emotiva non si creino conflitti, dispersioni di energie e di tempo.
E’ opportuno ribadire che il problema principale della programmazione delle situazioni di gestione rischi è
quello del coordinamento e la conseguente necessità del sostegno di tutto l’apparato alle attività operative di risposta.
Ciò che bisognerebbe fare è chiarire, mediante ordini di servizio e riunioni specifiche, compiti, autorità e
responsabilità di ciascuno, oltre a invitare tutti alla massima collaborazione. Se l’imprevisto ci trova completamente impreparati tutto può andare in fumo e vanificare il raggiungimento
degli obiettivi programmati. Se invece ci siamo preparati a gestire le situazioni di gestione rischi è possibile superarle lasciando sul campo il minor numero di perdite possibili.
Se le difficoltà e le sorprese possono essere tante ne deriva, come già detto, che l’azienda dovrà predisporre
gli strumenti per fronteggiare tutte le situazioni o, almeno, il maggior numero di esse. Questo è possibile in particolare con un’azione che si definisce risk management , ovvero la gestione della situazione di gestione rischi per evitare di farsi trovare impreparati ad essa ed essere costretti a subirla con conseguenze irreparabili.
Significato di Gestione Globale del rischio operativo
DIVERSI TIPI DI IMPREVISTI
Quali tipi di imprevisti possono verificarsi? La complessità delle situazioni unita alla notevole incertezza delle relazioni internazionali rendono non facile una loro definizione. La descrizione successiva vuole essere esemplificativa senza avere la pretesa di essere esaustiva. Un tentativo di analisi può essere quello di raggruppare le potenziali situazioni di gestione rischi a seconda delle diverse aree aziendali operativamente coinvolte. In questo caso potrà essere più immediata la definizione delle varie responsabilità e delle diverse competenze nel gestire le possibilità di intervento:
1. Top Management Dimissioni con rischio di passaggio alla concorrenza Impossibilità fisica a svolgere le mansioni con relativo vuoto di potere e di competenza Stanchezza, depressione, astio tali da rilasciare dichiarazioni pubbliche non ponderate o
pericolose per l’impresa. 2. Risorse Umane Dimissioni in blocco di un’intera struttura Scioperi e agitazioni sindacali interne, lassismo, boicottaggi Fuga di notizie sensibili relative a dati, brevetti, scoperte, strategie, nuovi prodotti Informazioni ai media incaute o dannose
Significato di Gestione Globale del rischio operativo
3. Produzione Blocco della produzione totale o parziale Carenza di materie prime e di utilities Rottura o indisponibilità di macchinari, attrezzature, impianti etc. Nuove leggi, disposizioni nazionali e internazionali riguardanti igiene, sanità, inquinamento etc. 4. Sistemi informativi e di comunicazione Sabotaggi Virus Perdita di memoria, di dati, archivi, etc. Hackers intrusivi Uso abnorme di posta elettronica sino alla paralisi del sistema gestione rischi nelle linee e nei circuiti di comunicazione Programmi gestionali non corretti, inadeguati, non protetti.Nota: Internet ha aumentato questa area di rischio a causa della sua non controllabilità in entrata e
uscita.
Significato di Gestione Globale del rischio operativo
5. Mercato, prodotti, clienti Un importante mercato geografico in gestione rischi Un prodotto difettoso o dannoso ritirato Un prodotto appena lanciato coperto da brevetto altrui Un cliente molto importante in gestione rischi Un aumento di prezzo contestato dal mercato La concorrenza crea difficoltà improvvise 6. Immagine Gravi problematiche nei confronti del consumatore finale a causa di movimenti politici e d’opinione, azione
dei movimenti consumatori, ecologisti/animalisti Un importante persona per l’azienda (proprietario, azionista, stilista, amministratore) coinvolto in uno
scandalo, in un fatto penale o altra situazione dannosa per l’immagine dell’azienda e dei suoi prodotti 7. gestione rischi finanziarie gestione rischi borsistiche Rating finanziari negativi, giudizi negativi espressi dal mercato finanziario gestione rischi bancarie Fidi bancari ritirati, ridotti, negati gestione rischi monetarie e differenze cambi Cambi di politica economica con conseguente gestione rischi finanziaria, anche locale
Significato di Gestione Globale del rischio operativo
7. gestione rischi finanziarie gestione rischi borsistiche Rating finanziari negativi, giudizi negativi espressi dal mercato finanziario gestione rischi bancarie Fidi bancari ritirati, ridotti, negati gestione rischi monetarie e differenze cambi Cambi di politica economica con conseguente gestione rischi finanziaria, anche locale 8. Acquisti, fusioni, joint venture Una collaborazione con un’impresa, un partner viene a mancare quando sembrava già operativa Una collaborazione tra aziende partners non dà buoni risultati Un’acquisizione, una fusione “indigesta” compromette il buon andamento dell’azienda 9. Agenti atmosferici, eventi catastrofici Crollo di un edificio adibito a uffici, produzione ecc. Incendio, alluvione, terremoto Paralisi nel sistema dei trasporti 10. Attentati, atti terroristici, eventi bellici (anche locali)E’ evidente che non tutte le attività d’impresa sono soggette ai rischi sopra elencati, ma per tutte comunque
rimane la possibilità teorica che essi si presentino. Pertanto gestione risk management significa essere mentalmente preparati e pronti a predisporre gli strumenti necessari a gestire o superare le varie situazioni di gestione rischi.
Significato di Gestione Globale del rischio operativo
OPERATIVITA’
Ogni azienda ha uomini e risorse per predisporre la propria politica di gestione risk management , pertanto è superfluo dilungarsi sulla operatività che è diversa, come abbiamo visto, da azienda ad azienda.
Pertanto se ne possono solo tracciare le linee generali.
La strategia più importante è quella di prevenire il maggior numero di situazioni di gestione rischi cercando di ridurre al massimo l’area del rischio. Non insegno niente a nessuno dicendo che la migliore prevenzione è quella della ripartizione del rischio cioè la diversificazione.
Diversificare mercati, prodotti, clienti, risorse finanziarie, apparati produttivi e possibili fornitori. Anche la diversificazione organizzativa tra più persone è un’altra forma di ripartire il lavoro e di conseguenza anche il rischio.
Oltre a prevenire, ma ciò non è sempre possibile, è opportuno organizzarsi per far fronte all’imprevisto.
A tal proposito si può suggerire:
· Un comitato di gestione rischi, composto da un limitato numero di persone, informate su tutto e ciascuna responsabile di una parte del lavoro.
· Persone esperte nelle diverse aree di potenziale rischio che predispongano una serie di ipotesi di intervento. Dove possibile come nel caso di eventi catastrofici, addirittura dei piani operativi dettagliati indicando persone, spazi, trasporti, modalità operative e canali di comunicazione.
· Un piano di gestione rischi che stabilisca i compiti di ciascuno, ciò che si può dire, chi deve dirlo e come lo si deve dire. Questo piano dovrebbe essere aggiornato periodicamente.
· Un elenco di esperti esterni che interverranno se dovranno essere affrontati casi particolarmente gravi dal punto di vista scientifico, tecnico, operativo, d’immagine.
· Uno staff di persone fidate per poter filtrare le richieste di informazione provenienti dall’interno e dall’esterno.
· Un archivio facilmente e velocemente accessibile di tutta la comunicazione aziendale che potrà risultare necessaria. Pertanto la salvaguardia di alcuni archivi è da prevedere.
· Un elenco aggiornato di rappresentanti dei media che potranno contattare l’impresa o essere da essa contattati per evitare o ridurre il rischio di errate interpretazioni o attacchi basati su una scorretta informazione.
· L’individuazione di un portavoce che affronti tutte le occasioni in cui l’impresa dovrà comunicare all’esterno.
Global Risk management : Tassonomia
GRM
Rischi legatialla qualità
delle forniture
Rischi legatialla violazione della
sicurezza delle informazioni
Rischi legati al non rispetto di leggi cogenti
Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interniSicurezza
FisicaLogica Organizzativa
SicurezzaLavoro
PrivacyAmbiente
/Emas
Perdita di clienti, reclami, resi
Perdita risorse, turnover, malattie
Processi in deriva scarti, perdite,
rifacimenti
Azioni legali, contenziosi,sanzioni
Pubblicità negativa
Furti di informazioni, divulgazione
Segreti, virus, interruzioni business
Decadimento percezione pubblica
del brand
Carenza di fiducia del mercato
Global Risk management : TassonomiaGlobal Risk management : Tassonomia
GRM
Rischi legatialla qualità
delle forniture
Rischi legatialla violazione della
sicurezza delle informazioni
Rischi legati al non rispetto di leggi cogenti
Non ConformitàOutput Servizi
Prodotti
Non Efficienza Processi
interniSicurezza
FisicaLogica Organizzativa
SicurezzaLavoro
PrivacyAmbiente
/Emas
Perdita di clienti, reclami, resi
Perdita risorse, turnover, malattie
Processi in deriva scarti, perdite,
rifacimenti
Azioni legali, contenziosi,sanzioni
Pubblicità negativa
Furti di informazioni, divulgazione
Segreti, virus, interruzioni business
Decadimento percezione pubblica
del brand
Carenza di fiducia del mercato
Global Risk management : Copertura Normativa- Standard Internazionali e Provvedimenti di legge
GRM
Rischi legati al non rispetto di leggi cogenti
ISO 9001:2000+ deriv. settore
ISO 9004:2000+ deriv. settore
BS 7799ISO 17799
ISO TR 13335IS0 15408
OSHAS 18000L.626
L.675DPR 318/99
ISO 14000:96EMAS
Social AccountabilitySA 8000
Requisiti minimi
Prerequisito; la tenuta sotto controllo di prodotti e processi
Prerequisito; la protezione delle informazioni
Rischi legatialla qualità
delle forniture
Rischi legatialla violazione della
sicurezza delle informazioni
Global Risk management : Copertura Normativa- Standard Internazionali e Provvedimenti di legge
ISO 9004:2000Miglioramento
Processi
Rischi legatialla qualità
delle forniture
Real Estate
ISO 9001:2000Conformità P/S
ISO 9004-2Servizi
ISO 9004-3Processi Continui
Fashion
Pharma
Public Services
Finance
Logistics
Retail
Gov.mt
ISO 9001:2000Media
ISO 9000-3ISO IEC 12207ISOIEC 9126
Produzione e Progettazione
software
TS 16949Automotive
TLC 9001Telecom
ISO 9001:2000D.L.
Energia
ISO 9001:2000Haccp
Alimentare
ISO 9004-2Guide Speciali
StandardDi settore
IT Security: Tassonomia
IT Security
Security Hardware
Security Software
Security Services
Authorization Authentication Administration
Firewall Appliances
BiometricsToken &Smart Cards
3A’s Encryption Antivirus Firewall Consulting IntegrationManagement
Services
Education&
Training
ISO TR 13335
Rischi legatialla violazione della
sicurezza delle informazioni
IS0 15408“Common Criteria”
MetodiCM
CobitCramm
BS 7799Parte 1Parte 2
ISO 17799Parte 1
IT Security: Tassonomia
Rischi legati al non rispetto di leggi cogenti
OSHAS 18000L.626
Social AccountabilitySA 8000
L.675DPR 318/99
ISO 1400:96EMAS
Law compliance: Tassonomia
Qualità come conformità degli output
20
La qualità e il miglioramento sono attributi del business: la loro gestione è importante alla pari della gestione economica dell’azienda.
La modalità per la gestione di questi attributi, oggi, passa attraverso esperienze e “best practices” ormai consolidate nelle norme Iso serie 9000, che nella loro ultima versione del 2000 comprendono gli spunti che dal dopoguerra in poi si sono venuti affermando per quanto riguarda i metodi di gestione legati al tema generale della gestione globale della “qualità”, intesa sia come insieme delle caratteristiche competitive di prodotti e servizi forniti, sia come misura della performance dei processi produttivi e delle persone addette.
In particolare le norme ISO serie 9000, che inizialmente (1975) erano focalizzate sulla sistematizzazione delle attività di controllo di qualità di prodotti, sono andate evolvendosi verso la definizione delle attività di “assicurazione” (assurance) della qualità, volte a garantire cioè il rispetto di requisiti espliciti di prodotti e servizi (1994) e sono poi arrivate a definire nella versione 2000 i concetti di tenuta sotto controllo dei parametri competitivi dei processi, prodotti e servizi, in ottica di soddisfazione dei requisiti del cliente al fine del miglioramento continuo dell’organizzazione fornitrice.
Questi Standards assicurano armonia e coerenza tra team, progetti, servizi e prodotti
sia all’interno dei confini nazionali che nel caso di attività in via di globalizzazione e definiscono le tecniche, il servizio, i requisiti di consegna e produzione contrattuali, funzionali, dimensionali, e di requisito del cliente, per ottenerne la soddisfazione.
Essi definiscono progetti, processi e sistemi e servono di base a stabilire uniformità nelle forniture di prodotti e servizi, minimizzando variazioni e scostamenti dalla media ottimale tra le variabili di progetto del prodotto o servizio e gli output effettivi; per esempio tra componenti meccanici, accessori e software destinati ad essere impiegati in macchine assemblate in fabbriche diverse, o prodotti che verranno processati in differenti impianti o tra servizi professionali svolti da team differenti e rivolti a diversi clienti,
Norma o Standard, regola tecnica o riferimento di esperienza tecnica e buon senso organizzativo, servono a tramandare una sintesi dello stato del’arte e a insegnare le esperienze umane pregresse.
Definiamo “sistema” un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno
Facendo riferimento al sistema gestionale per la qualità, vediamo come il ROI dell’investimento proviene dalla corretta gestione della suo ciclo di vita ordinario e di miglioramento, una volta che il sistema ha subito il suo start-up (studio, avviamento, evoluzione, messa a regime).
Nel caso del processo avente come finalità la massimizzazione della rispondenza dell’azienda ai requisiti dei potenziali o reali clienti, (riassumibile nel concetto di qualità) che la direzione di un’azienda dovrebbe avere definito insieme ai suoi esperti e consulenti come obiettivo primario, la direzione emette delle linee guida, definite politiche, che contengono il messaggio generale sul tema della qualità. (Livello 3)
Le policies stabiliscono responsabilità e indirizzi, che vengono ripresi nel sistema operativo, descritti nelle procedure e resi attuabili dalle misure predisposte per la gestione e controlli.
In realtà stiamo parlando di un deployment di indirizzi generali in regole da attuare sia per le caratteristiche dei prodotti, sia per quelle dei processi
Il manuale qualità, documento base, che elenca la connessione tra regole e misure tecniche o organizzative per la gestione della qualità, diviene documento con valenza organizzativa, per permettere la condivisione con tutti gli addetti della volontà della direzione circa la tenuta sotto controllo del processi di cambiamento continuo e miglioramento dei processi
Per mettere in pratica quanto disposto c’è il ciclo interno (livello 1 di gestione ), di addestramento, condivisione tecnologie, diffusione di notizie, comunicazione.
La vita del processo passa attraverso l’applicazione quotidiana delle misure, che danno origine a 3 fatti fondamentali: intercettare i prodotti difettosi, far fronte ai servizi non conformi con i requisiti delle direzione, che dovrebbero aver interpretato i requiisiti dei Clienti, registrare le idee di miglioramento evolutivo che vengono agli addetti in azione, prevedere i danni , rischi o incidenti che potrebbero intervenire nei nuovi processi
Le iniziative riuscite vengono registrate per confermarne la validità, le idee migliorative che prevengono problemi vengono registrati per essere messi in lista di attesa di fattibilità, gli incidenti di qualità (non conformità) vengono gestiti in modo da minimizzare il danno all’azienda ed agli altri portatori di interessi collegati ,ma sono lo spunto più potente per far avanzare il sistema nel tempo ed adeguarlo alle continue evoluzioni del mercato.
Ciclo di vita del processo qualità e miglioramento
In caso di anomalie, o anche semplici decadimenti delle prestazioni previste da processi e attività, il sistema prevede che venga effettuato un procedimento standardizzato atto a rilevare il fenomeno, valorizzare i danni, analizzare e definire la cause, prendere in modo programmato i provvedimenti atti ad evitare il ripetersi dell’evento con innalzamento o modifica del livello di attività di prevenzione
In seguito, la direzione riesamina l’andamento dei rilevamenti di sistema allo scopo di prendere le decisioni atte a evitare che si possano ripetere le condizioni di un evento non conforme sia esso interno o esterno.
Il sistema qualità è in continuo cambiamento “controllato e approvato” dalla direzione attraverso meccanismi previsti (Esiste una procedura che garantisce la revisione periodica del SQ da parte della direzione ) e si adatta ad ogni evoluzione nel funzionamento dell’azienda.
Il funzionamento del sistema, viene monitorato con la collaborazione di tutti attraverso il meccanismo delle rilevazione (Non conformità, azioni preventive e migliorative, segnalazioni, incidenti ) che offre lo spunto per il suo continuo miglioramento, basato su un continuo studio progettuale dei miglioramenti possibile ed economicamente convenienti (livello 2), che prevede l’applicazione del quality manager in stretto collegamento esinergia con tutti gli owner di processo aziendali.
Per attuare quanto descritto, si richiede un continuo sforzo direzionale ed organizzativo ma è proprio questo sforzo a rappresentare il risultato positivo per l’azienda che, seguendo i dettagli della norma, può tenere sempre sotto controllo la qualità del suo modo di operare sia interno che nei confronti dell’esterno.
Ciclo di vita del processo qualità e miglioramento
Liv 2. Gestione Tattica del Ciclo di vita del sistema qualità e miglioramento
Liv 1. Gestione operativa del processo
Liv 3. Gestione strategica del Ciclo di vita del miglioramento evolutivo
Attore: Direzione
Attore: Quality manager
e team consulenti
Attore: Team di supporto
Attività operative di gestione del sistema
Gestione dei progetti di miglioramento
Attività strategicheAttività Direzionali
Attività Operative di sistema
Ascolto Requisiti Bisogni
Aspettative dei Clienti
Documentazione Sistema
Pubblicità alle regole
Miglioramento Regole
Definizione delle regole per il
conseguimento delle caratteristiche
CICLO DI VITA DEL PROCESSO QUALITA’
Formazione ed addestramento
Verifiche ispettive e t.s.controllo dei processi attraverso le evidenze
Gestione delle evidenze dei processi e dei controlli
Studio Misure e campionamenti
Gestione delle non conformità Azioni migliorative RILEVAMENTO
SODDISFAZIONE CLIENTE
ESECUZIONE DEI PROCESSI AZIENDALI
Definizione della qualità (insieme di
caratteristiche Competitive)
Review Sistema1
e
d c
ba
5
4
3
2
f
g
h
CONTROLLO PROCESSI/PRODOTTI/SERVIZIe
Attività Gestionali di sistema
Ciclo di vita del processo qualità e miglioramento
Liv 2. Gestione Tattica del Ciclo di vita del sistema qualità e miglioramento
Liv 1. Gestione operativa del processo
Liv 3. Gestione strategica del Ciclo di vita del miglioramento evolutivo
Attore: Direzione
Attore: Quality manager
e team consulenti
Attore: Team di supporto Attività operative di gestione del sistema
Gestione dei progetti di miglioramento
Attività strategiche
Ciclo di vita del processo qualità e miglioramento
Gli standard ISO 9001 e 9004 prevedono la definizione di un “sistema” comprendente i seguenti elementi:
Politiche formalizzate,espresse dall’alta Direzione
Attività direzionali di predisposizione risorse, comunicazione ed organizzazione
Struttura organizzativa predisposta Individuazione delle Regole Tecniche di
riferimento Procedure definite, alcune formalizzate Sistema documentale di formalizzazione delle
procedure e dei piani, comprendente il suo sistema di gestione, creazione, distribuzione e tenuta sotto controllo, basato su supporto cartaceo o elettronico
Piani specifici di intervento Mezzi di comunicazione delle informazioni, Strumenti e applicazioni tecniche di attuazione
dei controlli di qualità Tecniche di tenuta sotto controllo dei sistemi e
delle reti prodotti Attività di formazione, informazione,
motivazione ed addestramento Attività strutturate di gestione delle evidenze
dei processi e dei controlli, Attività strutturate di verifica, individuazione di
anomalie e retroazione Attività strutturate di monitoraggio indicatori Attività strutturate di miglioramento basate sulla
definizione di indicatori di processo
Attività Direzionali
Attività Manageriali
Ascolto Requisiti Bisogni
Aspettative dei Clienti
Documentazione Sistema
Pubblicità alle regole
Miglioramento Regole
Definizione delle regole per il conseguimento delle caratteristiche
CICLO DI VITA DEL PROCESSO QUALITA’
Formazione ed addestramento
Verifiche ispettive e t.s.controllo dei processi attraverso le evidenze
Gestione delle evidenze dei processi e dei controlli
Studio Misure e campionamenti
Gestione delle non conformità Azioni migliorative
RILEVAMENTOSODDISFAZIONE
CLIENTE
ESECUZIONE DEI PROCESSI AZIENDALI
Definizione della qualità (insieme di
caratteristiche Competitive)
Review Sistema1
e
d c
ba
5
4
3
2
f
g
h
CONTROLLO PROCESSI/PRODOTTI/SERVIZIe
Attività di supporto
Qualità come conformità degli output
Qualità come efficienza dei processi
Ma dal sistema di base, è possibile trarre i maggiori benefici se se ne prende spunto per fondare un più robusto processo di progetto continuo qualità e miglioramento, come suggerito dallo standard ISO 9004:2000, che , nella accezione più ampia, indica come fare in modo che gli spunti di miglioramento che sorgono nel corso delle attività vengano incanalati in verso la direzione e costituiscano un continuo stimolo alle decisioni tattiche e strategiche di business.
Il processo nato per il monitoraggio della qualità si trasforma così in un processo a tre livelli, rilevazione, analisi, decisione direzionale, volto alla standardizzazione e tenuta sotto controllo del naturale processo di miglioramento che permette alle aziende di adattarsi ai mutamenti ambientali e raggiungere sempre migliori performances.
Ma questo processo non è opzionale, solo per le aziende che vogliono competere come best in class, ma è in effetti un processo obbligatorio anche per chi vuole solo mantenere una posizione di business che ritiene già soddisfacente: infatti i processi aziendali, lasciati privi di continui controlli, vanno alla deriva per banali ragioni: deterioramento di risorse, cambiamenti che rendono inutilizzabili attività, disponibilità di mezzi avanzati, perdita di personale, piccoli sabotaggi .
Le strutture organizzative sono in continuo cambiamento ed evoluzione in funzione di situazioni gestionali ed economiche contingenti e sono progettate per porre in atto un insieme di processi relativamente stabili (modello) concepito in funzione del raggiungimento delle finalità aziendali e del mercato di riferimento.
I nostri interventi di consulenza applicano la standardizzazione evolutiva, nel senso di raccogliere gli aggiornamenti evolutivi naturali, valutarli, validarli e farne oggetto di standardizzazione con l’obiettivo della la tenuta sotto controllo di processi che, lasciati a se stessi, vanno alla deriva.
Occorre inserire nel sistema le novità che emergono ogni giorno dall’operatività, che sono la reale evoluzione aziendale, standardizzarle e veicolarle verso gli altri collaboratori: questo è il meccanismo del miglioramento: altrimenti il sistema produce non un processo a valore aggiunto ma solamente un’insieme di attività che risentono del pericolo di burocratizzazione
Occorre invece trasferire Idee direzionali alle le persone adeguatamente “empowerizzate” e sfruttare l’elevato grado di “know how” di tutti i componenti dell’azienda non come solo operatori che eseguono, ma elementi pensanti.
Questo assicura un elevato ritorno dell’investimento ed è quello che Euranet aiuta a porre in atto secondo il progetto qui presentato.
“sistema” è un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno.
Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di un processo.
I processi sono l’ insieme di attività volte ad uno scopo coerente con le finalità operative per cui sono progettati, attivate da persone organizzate secondo schemi organizzativi, gerarchici, di competenza e di responsabilità che possono variare nel tempo. Operano trasformazione di input di informazioni, materiali e risorse in output utili al conseguimento delle finalità progettuali
I processi aziendali, lasciati privi di continui controlli “vanno alla deriva” per banali ragioni: deterioramento di risorse, cambiamenti che rendono inutilizzabili attività, disponibilità di mezzi più avanzati, perdita di personale, piccoli sabotaggi .
Inoltre, per normale evoluzione di business e tecnologica, le strutture organizzative sono in continuo cambiamento in funzione di situazioni gestionali ed aziendali contingenti .
Se esse non sono progettate per porre in atto un insieme di processi relativamente stabili (modello) concepito in funzione del raggiungimento delle finalità aziendali e del mercato di riferimento, l’evoluzione non risulta guidata e può creare decadimenti di prestazioni.
Proprio per intervenire su questi problemi di deriva e di cambiamento, il sistema “qualità”, nato per la garanzia e poi la gestione delle caratteristiche qualitative dei prodotti o servizi, assume un nuova e se possibile più importante valenza , come espresso dalla norma “volontaria” ISO 9004:2000, di garantire l’efficacia dei processi, l’”early warning” sulla loro deriva, e la coerenza tra con le strutture organizzative.
In presenza di un sistema organizzativo teso al miglioramento, sul modello ISO9001-9004, la naturale tendenza al deterioramento viene sostituita da un indirizzo guidato e tenuto sotto controllo,volto al miglioramento delle prestazioni di processi, parallela all’innnalzamento delle capacità concorrenziali dell’azienda.
Così risulta facilmente comprensibile come un sistema gestionale aziendale , inteso come un insieme di dati, informazioni anche supportate da carta, apparati tecnologici, applicativi software, persone, e reti di comunicazione, costato molto come investimento in risorse interne ed esterne, si presti a fornire un inestimabile ritorno dell’investimento R.O.I. se indirizzato dalla Direzione come strumento gestionale di controllo e propulsione del miglioramento del business.
Con un paragone fisico si può dire che se la qualità dei prodotto e servizi fosse paragonata alla “velocità” di un’auto da corsa (l’azienda), il sistema qualità base ISO 9001:2000 ne garantisce la conservazione, lottando contro le inerzie dell’organizzazione e le derive dei processi che congiurano per la decelerazione, ma solo il sistema finalizzato al miglioramento ISO 9004:2000 ne garantisce l’accelerazione !
“sistema” è un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno.
Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di un processo.
I processi sono l’ insieme di attività volte ad uno scopo coerente con le finalità operative per cui sono progettati, attivate da persone organizzate secondo schemi organizzativi, gerarchici, di competenza e di responsabilità che possono variare nel tempo. Operano trasformazione di input di informazioni, materiali e risorse in output utili al conseguimento delle finalità progettuali
Qualità come efficienza dei processi
Sicurezza Fisica, Logica, Organizzativa
20
Per entrare nell’argomento, pensiamo che, se dal punto di vista fisico, tutti noi siamo quello che mangiamo, dal punto di vista psicologico ...di rapporto comunicativo ed operativo, siamo quello che sappiamo !
In effetti il nostro software cerebrale è alimentato fin dalla nascita da informazioni che ci pervengono attraverso i sensi e vengono memorizzate nelle zone apposite del cervello, per essere usate al momento opportuno.
Per usarle occorre ritrovarle, occorre che non vengano corrotte e, per essere veramente nostre, che restino oggettive, riservate
Tutto il nostro modo di essere, comportarci, lavorare, interagire è basato sulle informazioni, elementari o complesse, immagazzinate.
Facendo un salto alle Aziende, anche l’essere, l’operare, il fare affari di un’azienda è costituito da gestione di beni fisici organizzati in base a informazioni pregresse o generate durante il trattamento.
Alcune sono ancora contenute nella mente delle persone che collaborano e sono, in un certo senso, sicure, se la persona è sicura
Altre, forse la parte minore come volume ed organicità complessiva, ma costituente la parte più organizzata ed attinente al business, e la sola che la Direzione di un’azienda in realtà possiede e può gestire, (al di là del potere sulle persone), è sparsa su supporti cartacei, magnetici, ottici o ...lignei, ò è in “viaggio”, su apparati telefonici analogici o digitali , reti, satelliti, veicoli.
. Le informazioni sono asset aziendali su cui si basa tutto, non si devono corrompere, devo essere disponibili,, dimostrasi anche dopo anni autentiche, e restare riservate, in quanto, se rubate vanno ad arricchire altre entità: le finalità da garantire loro sono:
INTEGRITA’
Le informazioni possono essere modificate esclusivamente dai soggetti autorizzati, nelle forme e nei modi previsti.
RISERVATEZZA
Le informazioni possono essere consultate soltanto dai soggetti autorizzati.
DISPONIBILITA’
Le informazioni devono poter essere utilizzate, nel rispetto di livelli di servizio predefiniti.
Per garantire le suddette caratteristiche occorre che i dati, gli elementi base costituenti le informazioni rimangano organizzati in modo coerente , e questo avviene se i supporti sono mantenuti in modo protetto da tutto ciò che può minacciarli.
La protezione, come è ovvio, dovrebbe essere tanto più accurata quanto più valore hanno per l’azienda quelle informazioni, anche perchè la protezione è un costo che va commisurato in modo manageriale.
Ma non sono solo i costi di protezione da prevedere in relazione ai rischi , tra cui annoverare anche quelli derivanti dalla legge, ma da rivedere tutti i costi legati al ciclo di vita dell’informazione e ripensare in un’ottica nuova i processi : es.: Quante volte ci chiediamo se accettare o meno il rischio di possedere dati altrui ?
Ogni Business si basa su informazioni
I rischi di furto o danniCi sono sempre stati
In pratica non si faceva niente
Le probabilità di eventodannoso per l’azienda in generale erano basse
Non c’era particolareNecessità di gestioneBastava stare attenti
La connettività globaleCrea nuovi rischi (virus, dos, ecc
Le probabilità di incidente salgono
Occorre cultura delle minacce e delle possibili
contromisure
Stati ed istituzioni sollecitano la protezione delle informazioni nei confronti dei terzi da
parte dei soggetti che le raccolgono e gestiscono
Sono vigenti leggi e pesanti sanzioni per che i non provvede in modo organico a
proteggere li altri, quindi se stesso
Occorre che i dirigenti, spesso non approfonditi, non solo deleghino ai tecnici ma gestiscano il livello di sicurezza che strategicamente desiderano per la loro
azienda
Il COSTO dei danni provocatiPuò al limite superare il valore
Dell’azienda
Sicurezza Fisica, Logica, Organizzativa
Sicurezza Fisica, Logica, Organizzativa
20
Costi di
prevenzione e
protezione
Valore Asset
Min
acc
e
PREVENZIONEgestire il rischio
Con un budget illimitatoe in un tempo illimitato,si può costruire un sistema di gestione della sicurezzaquasi perfetto.Ma quello che serve è Sistema di gestioneappropriato ed adeguato
Con un budget illimitatoe in un tempo illimitato,si può costruire un sistema di gestione della sicurezzaquasi perfetto.Ma quello che serve è Sistema di gestioneappropriato ed adeguato
Ciclo di vita di un processo di ITC security system
Stima dei Rischi
Analisi as is
Definizione to beProcedure
Miglioramento
Definizione dei provvedimenti per mitigazione rischi
Autorità Responsabile
SISTEMA GESTIONE
SICUREZZA
Formazione ed addestramento, Prove di gestione rischi
Verifica e controllo del Sistema Sicurezza-Gestione gestione rischi
Gestione del Sistema Sicurezza-Gestione gestione rischi
Piani di protezionee sicurezza, Selezione ed
acquisto sw (hw)
Gestione degli IncidentiAzioni migliorative
Monitoraggio efficacia
Processi informatici in atto
DefinizioneDei LivelliDi sicurezzadesiderati
Review Comunicazionee committment
• Il ciclo di vita di un sistema di sicurezza ITC prende l’avvio dalla presa di consapevolezza che la struttura fa dei rischi generali cui è sottoposta e attraverso la delega e le risorse rese disponibili dall’autorità viene delegato un team di esperti interni/consulenti con l’incarico di esaminare le disposizioni esistenti per la prevenzione, la loro coerenza ed i loro limiti, in relazione all’evoluzione della struttura, dei rischi connessi e dell’evoluzione dei metodi di attacco.
• Contemporaneamente viene attivato un processo di comunicazione atto ad allineare le risorse sui temi in via di definizione.
• Le attività prevedono in parallelo la rifocalizzazione del sistema di gestione della sicurezza, se esistente (in caso di non disponibilità del sistema vedi: processo di creazione del sistema –Documento Euranet ).
• Il sistema prevede comunque obiettivi e policies per il livello di sicurezza desiderato dall’Autorità aziendale e relativi piani di protezione,legati a infrastrutture Hw e Sw a disposizione e da acquisire.
• La messa a punto di questi dispositivi richiede piani di test e info/formazione delle risorse umane incaricate della gestione delle stesse ed addestramento di tutto il personale che potenzialmente può venire coinvolto in situazioni di rischio, riguardo attacchi informatici o fisici alla sicurezza del sistema informativo o delle installazioni web.
• Le attività divengono routinarie nella gestione incidenti, nel rilievo delle anomalie (ove queste non superino il livello di sicurezza predisposto: in tal caso scatta la procedura di gestione rischi che porta a limitare i danni immediati ed a ripercorrere il ciclo di vita del sistema, nel senso di rinforzare policies, strumenti, addestramento e così via)
• Il sistema di gestione comprende elementi di monitoraggio efficacia e porte per la ricezione dei segnali e delle informazioni provenienti dall’azienda stessa o dall’esterno per la messa in atto e la tenuta sotto controllo di attività di miglioramento.
• Per approfondimenti vedasi il documento Euranet di approccio alla norma ISO 17799 e la norma stessa.
Ciclo di vita di un processo di ITC security system
Rispetto delle leggi
Il crescente interesse di istituzioni e consumatori per gli argomenti della protezione delle salute, la privacy, la minimizzazione dell’impatto ambientale, la responsabilità sociale degli attori economici, porta alla definizione di un insieme di regole, leggi e norme che rendono sempre più difficile al management ed all’imprenditore di essere certo del rispetto delle stesse da un lato e di dimostrare ai partners di business che la propria azienda si trova in condizioni di conformità e quindi non corre il rischio di subire sanzioni o addirittura di correre il rischi che i suoi processi vengano interrotti dall’autorità, o che subisca danni economici talmente rilevanti da trovarsi in difficoltà ad evadere gli ordini, interrompendo così la catena del valore di cui fanno parte.
Per ovviare a questa situazione, che vede implicazioni di carattere tecnico, legale, organizzativo, operativo, in campi diversi e che necessitano la più diverse professionalità, si può ovviare soltanto garantendo un presidio unico organizzativo, una centrale operativa di gestione dei rischi, con funzioni di project management , nella fase di raggiungimento dei requisiti stabiliti dalle leggi, norme e convenzioni, e di presidio nella fase di gestione ordinaria e di continuo miglioramento.
In questo modo, l’unità organizzativa presidia i processi, delega agli specialisti opportuni le attività specifiche, monitorandone le prestazioni e minimizzando i costi, interfaccia gli enti di controllo, collaudo, sorveglianza e certificazione, traendo dalle relative evidenze pubbliche, iscrizioni agli albi e certificazioni , tutti i vantaggi in senso di pubblicità, garanzia ai Clienti e partners commerciali, garanzia alle istituzioni ed la pubblico in generale, necessarie a ottimizzare l’immagine di marca e suscitare la confidenza e fiducia (trust & Confidence) che sono alla base di ogni duratura attività economica di affari.
IMPATTO AMBIENTALE
ISO 14000:1996
Sicurezza catena alimentare
HACCP
Social acconutability
SA 8000
Sicurezza Lavoro
l.626- OSHAS 18.000
Privacy l.675
Obiettivi proposti
A fronte di quanto esposto, proponiamo la definizione di una piattaforma organizzativa per la gestione dei rischi, operante su tre livelli:
Al livello 1 viene demandata la gestione operativa delle procedure e dei processi di supporto, con opportuno staffing delle risorse necessarie alla gestione di processi selezionati. Ad esempio la qualità dei processi e la gestione della sicurezza informatica.
Al livello 2, di carattere manageriale, viene demandata l’animazione manageriale dei processi , descritta nelle slides successive
Al livello 3 corrisponde l’attività direzionale, richiesta dalle norme ISO 9001:2000, ISO9004:2000 e BS 7799 in relazione alle attività di riesame della direzione e management forum
Gestione controllata della qualità
Ottimizzazione sistemi e ottemperanza leggi
Pianificazione del miglioramento
Gestione dell’impatto ambientale
Integrità, disponibilità, riservatezza delle informazioni
Monitoraggio aspetti etici del business
Verifica applicazione leggi, policies e/o standard
Global Risk Management
• Il Risk Management aiuta i manager e gli imprenditori a cautelarsi dai principali
rischi operativi, per lo sviluppo sostenibile delle propria organizzazione
• Le imprese nel loro operare seguono politiche e strategie, trasformate poi in tattiche che incidono sia sugli aspetti patrimoniali che economici, e poi tecnici e commerciali, di gestione risorse umane….
• Parallelamente oggi tengono anche conto di una fitta selva di convenzioni scritte e non, leggi, accordi, norme e regole tecniche, sempre in evoluzione, che regolano, i loro rapporti con tutti i soggetti interessati, denominati “portatori di interesse” o “stakeholders”…. ( Nel “gergo” della CSR/RSI)
Le impreseLe imprese
• La corretta gestione di queste regole di rapporto, che in alcuni casi sono anche “verificate” e certificate da enti terzi, preposti a farlo, servono sia a facilitare la vita dell’impresa, a tutelarne proprietà e dirigenti, ma soprattutto a prevenire i rischi che la gestione non corretta dei rapporti provocherebbe .
• Quindi le imprese investono risorse umane e materiali , organizzano entità interne, generano relazioni , studiano piano comunicativi, al fine di tutelarsi dai rischi sottesi a non far fronte correttamente o peggio non percepire correttamente le esigenze dei vari “portatori di interesse”
Le impreseLe imprese
LIVELLO APPROCCIO
1.Nessun intervento Nessun esonero Quando succede si vedrà
1.Rispetto cogenza e modelloIntervento reattivo
Minimo indispensabile/conformità legislativaControllo contabileIntervento dopo l'accertamento di illeciti riscontrati dall'interno
3.Gestione per obiettivi di rischio Prevenzione rischi e perdite Sistema pianificazione e controlloIntegrazione sistemi Qualità - Contabilità - Controllo di Gestione
4.Continuità del miglioramento Incremento sensibile della conoscenza, consapevolezza, risultati
5. Migliore classe di prestazioni Migliori Prassi - Migliore rapporto Costo/RisultatiEsempio per altriNel proprio segmento "Best in Class“ , In generale Benchmark
Possibili approcci e suggerimenti Asseprim sulla L. 231Possibili approcci e suggerimenti Asseprim sulla L. 231
• Le attività di gestione dei rischi necessitano di organizzazione interna (definizione ed accettazione di ruoli) e prevedono anche le fasi di formazione, creazione o acquisto di competenze tecniche diversificate ed addestramento all’operatività.
• Asseprim si attiva a ricercare le materie più interessanti, a organizzare seminari interattivi, ad erogare formazione, a creare gli strumenti e i modelli di supporto al difficile cammino di adeguamento e miglioramento organizzativo di aziende di ogni dimensione, ma con maggiore attenzione alle medio-piccole, per aiutare in modo professionale il management a ottimizzare gli strumenti esistenti e/o dotarsi degli strumenti culturali, sia di piattaforma che di dettaglio, per affrontare queste tematiche.
La posizione AsseprimLa posizione Asseprim
Dal modello al sistema
Dal sistema ai processi di gestione
Individuazione aree a rischio
Individuazione Modello di riferimento
Figure Organizzative del modello adattate su personale
disponibile o esternalizzazione
SISTEMA :Modello
contestualizzato
Avviamento processi, Info-formazione
Gestione
Modello---- Sistema ----- ProcessoModello---- Sistema ----- Processo
Linee guida
“Sistema” è un insieme di elementi integrati e interagenti,
ordinati per conseguire una meta comune
e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno.
Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di
un processo.
Modello---- Sistema ----- ProcessoModello---- Sistema ----- Processo
Il Sistema di gestione:
comprende la struttura organizzativa,
le attività di pianificazione,
programmazione e controllo,
le responsabilità,
le risorse
per sviluppare, attuare, conseguire, riesaminare e mantenere attiva una specifica politica aziendale.
Modello---- Sistema ----- ProcessoModello---- Sistema ----- Processo
Gli elementi di un generico sistema di gestione sono:
1. Struttura organizzativa: figure operative e relative responsabilità (delegate ed accettate da chi le riceve !)
2. Provvedimenti organizzativi di attuazione e controllo
3. Politiche e obiettivi coerenti con i processi
4. Indicatori per monitorare i processi legati alle politiche
5. Regole per lo svolgimento dei processi
6. Strutture informative
7. Individuazione ed applicazione delle specifiche ( leggi, norme, capitolati…)
8. Supporti tecnologici
9. Tecniche, procedure e strumenti di controllo
10. Prassi/mezzi di comunicazione e informazione e formazione
Modello---- Sistema ----- ProcessoModello---- Sistema ----- Processo
I processi sono “ insieme” di attività volte ad uno scopo coerente con le finalità
operative per cui sono progettati, attivate da persone organizzate secondo schemi
organizzativi, gerarchici, di competenza e di responsabilità che possono variare nel tempo.
Operano trasformazione di input di informazioni, materiali e risorse in output utili al conseguimento delle finalità progettuali
elementi che, messi in funzione, rendono possibile l’esecuzione di un processo
elementi che, messi in funzione, rendono possibile l’esecuzione di un processo
ORIENTAMENTO GENERALE
Risorse e responsabilità
Metodologie di controllo
PUNTI CRITICI
Auditing svolto da pers. interno e/o auditing effettuato da Ente Esterno
Attività migliorative
Direzione
Organismo di controllo
Gestione delle evidenze
Responsabili
Processi
Monitoraggio
Risultati
Azioni di prevenzione e
controllo
ESEMPIO ESEMPIO