La certificazione ai sensi dell’art. 42 del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) è un processo che dimostra l’impegno di un’azienda a proteggere i dati personali gestiti (ad es. dei propri clienti e dipendenti), relativamente ad un processo, prodotto o servizio.

La certificazione GDPR non è obbligatoria, ma può essere un’ottima opportunità per le aziende che desiderano dimostrare il loro impegno verso la conformità alle normative sulla protezione dei dati personali e, quindi, aumentare la loro reputazione sul mercato, magari accedendo, in un prossimo futuro, a gare di appalto particolarmente significative.

Il processo di certificazione GDPR prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un organismo di certificazione accreditato. Questo Organismo esaminerà le procedure interne dell’azienda, le tecnologie utilizzate per proteggere i dati e la formazione del personale in materia di sicurezza dei dati. Se l’azienda supera la valutazione, verrà rilasciata una certificazione che dimostra che il prodotto, processo o servizio dell’organizzazione oggetto di certificazione è conforme ai requisiti del GDPR.

La certificazione GDPR non è permanente e deve essere rinnovata regolarmente ogni 3 anni. Questo significa che l’azienda deve continuare a monitorare e migliorare i propri sistemi e processi per garantire che rimangano conformi alle norme sulla protezione dei dati personali. Inoltre, le organizzazioni devono essere in grado di dimostrare la loro conformità in caso di controlli da parte dell’Autorità di Controllo per la protezione dei dati personali. Controlli nei confronti dei quali la certificazione non è esimente, ma può costituire un motivo per attenuare le eventuali sanzioni.

Gli standard che comprendono la protezione dei dati personali nel loro ambito di applicazione sono diversi, a partire dalla ISO 27001 sulla sicurezza delle informazioni che ha comunque un controllo specifico sulla privacy, il controllo A.18.1.4), la ISO 27701 che è un’estensione della ISO 27001 per le organizzazioni che vogliono certificare il loro sistema di gestione della privacy, la UNI PdR 43.2 ed altri. Ricordiamo però che la più completa ISO 27701 riguarda il sistema di gestione della sicurezza delle informazioni ed in particolare delle informazioni personali e pertanto è fuori dallo scopo del Regolamento UE 679 che prevede una certificazione di prodotto, processo o servizio ai sensi della ISO 17065 e non della ISO 17021 (accreditamento degli Organismi di certificazione sui sistemi di gestione). Anche la PdR 43 ha un difetto: si applica solo ai sistemi informatici, dunque l’organizzazione che la adotta non riuscirebbe a dimostrare la conformità dei trattamenti effettuati su supporto analogico/cartaceo.

Gli schemi attualmente approvati dall’European Data Protection Board (EDPB) sono CARPA (Schema del Lussemburgo), EUROPRISE (applicabile solo in Germania) ed EURROPRIVACY. Per motivi diversi solo quest’ultimo è applicabile in Italia, anche se risulta molto impegnativo ed orientato solo alle medio-grandi aziende.

In Italia, però, esiste uno schema di certificazione sul GDPR, che è in procinto di essere approvato dall’Autorità Garante per la Protezione dei Dati Personali e successivamente dall’EDPB. Si tratta dello schema ISDP©10003 di Inveo (scheme owner), accreditato da ACCREDIA, che è attualmente impiegato per la certificazione della protezione dei dati personali di prodotti, processi e servizi, anche se non ha ancora l’imprimatur ufficiale di certificazione ai sensi dell’art. 42.5 del Regolamento UE 679/2016.

Il processo di certificazione ISDP©10003 prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un Organismo di Certificazione accreditato. Il percorso di certificazione si articola in due passi successivi (come le altre certificazioni di sistema o prodotto): la verifica documentale e l’audit in campo. Non ci sono particolari differenze rispetto ad altri schemi di certificazione su iter di certificazione, classificazione dei rilievi e conferimento del certificato. Quello che differenzia sostanzialmente la certificazione ISDP©10003 – come le altre certificazioni sul GDPR – dalle certificazioni dei sistemi di gestione a cui molte organizzazioni sono abituate è il fatto che qui l’ambito di certificazione è un prodotto, processo o servizio di trattamento dati e, quindi, la normativa di riferimento per l’accreditamento è la ISO 17065, non la ISO 17021 come per le altre certificazioni di sistema.

L’organizzazione può, quindi, certificare un suo prodotto (ad es. un software), un processo di trattamento dati o un servizio erogato oppure una combinazione di essi.

Passando ad esaminare in dettaglio lo schema ISDP©10003 (scaricabile liberamente dal sito di INVEO) si notano comunque diverse analogie con altri schemi di certificazione. Infatti, la struttura dello standard è allineata alla struttura HLS dei sistemi di gestione (ISO 9001, ISO 14001, ISO 27001), ma comprende anche, nell’Appendice A, gli obiettivi di controllo da osservare, sulla falsariga della ISO 27001 sui sistemi di gestione per la sicurezza delle informazioni.

 I punti dello schema sono illustrati nel seguito:

INTRODUZIONE

Nella sezione introduttiva si illustra gli aspetti generali dello schema, la sua struttura (oltre ai requisiti generali si introduce l’Allegato A che rappresenta i criteri di controllo già menzionato e l’Allegato B che riporta la “tabella di corrispondenza” fra requisiti e controlli dello schema, con gli articoli e i considerando del GDPR, le linee guida dell’EDPB e dell’Autorità Garante Nazionale (GPDP).

Inoltre, si indica la ISO 19011 come normativa di riferimento per la conduzione degli audit, unitamente alla ISO 17065 e alle linee guida EDPB 4/2018 Allegato 1. Tale norma rappresenta, infatti, la linea guida per la conduzione di audit di sistemi di gestione, ma può essere tranquillamente applicata anche ad altri tipi di audit, come quelli su prodotti, processi e servizi.

Questa sezione richiama anche l’approccio per processi, comune a tutte le norme sui sistemi di gestione. Infatti, occorre vedere i trattamenti di dati personali (oggetto di certificazione) come processi, al fine di gestirli in modo più efficace ed efficiente, oltre che conforme ai dettami normativi.

Inoltre, in questa sezione vengono esplicitati gli “aspetti di conformità” che caratterizzano lo schema e la valutazione della conformità allo stesso, con riferimento alla sopra citata Linea Guida EDPB 4/2018, evidenziato anche attraverso una chiara tabella di corrispondenza.

Infine, viene dichiarata la compatibilità (denominata “interoperabilità”) con altre norme che condividono la struttura HLS.

SCOPO E CAMPO DI APPLICAZIONE

In questa sezione si definisce un ambito di applicazione generale e specifico dello standard che può essere applicato a prodotti, processi e servizi erogati dall’organizzazione in qualità di titolare o responsabile del trattamento. Nell’ambito di applicazione generale tutti i controlli dell’Allegato A devono essere applicati, nel caso, invece di ambito di applicazione specifico – a un prodotto, un processo o un servizio specifico – alcuni controlli potrebbero essere esclusi. Come in quasi tutte le altre norme certificabili il perimetro può essere personalizzato.

RIFERIMENTI NORMATIVI

La sezione riporta i riferimenti normativi ISO richiamati nel testo, oltre al GDPR, ma l’organizzazione certificanda dovrebbe acquisire conoscenze anche sulla normativa italiana (D.Lgs 196/2003 aggiornato al D.lgs 101/2018 oltre ai numerosi provvedimenti del GPDP), sulle Linee Guida EDPB e su altre normative e direttive UE eventualmente applicabili all’attività svolta.

TERMINI E DEFINIZIONI

Sono riportati numerosi termini e definizioni, alcune proprie del Regolamento UE 679, altre definite nell’ambito dello schema stesso. Sezione molto utile anche per coloro che, pur non mirando alla certificazione, vogliono costruire un modello organizzativo privacy utilizzando termini appropriati.

PRINCIPI E QUADRO DI RIFERIMENTO

In questa sezione sono illustrati e sviluppati i principi base del GDPR ed alcuni concetti chiave per la corretta comprensione dello schema e della normativa europea.

CONSAPEVOLEZZA E RESPONSABILIZZAZIONE

In questa sezione, come in altre norme ISO, si espongono requisiti come l’impegno della Direzione (persone fisiche che rappresentano il Titolare/Responsabile del Trattamento), la definizione di una politica per la protezione dei dati personali e la definizione di una struttura organizzativa che comprenda ruoli e responsabilità ben precise per la data protection.

OBIETTIVI E PIANIFICAZIONE DELLA GESTIONE DEL RISCHIO

L’obiettivo primario dell’applicazione dello schema ISDP©10003, come peraltro quello del GDPR, è il rispetto dei diritti e delle libertà dell’interessato nel trattamento di dati personali. In questa sezione si enfatizza il fatto che deve essere sempre analizzato il contesto del trattamento e nel quale opera l’organizzazione e che prima di intraprendere un nuovo trattamento deve essere condotta una valutazione dei rischi che preveda la determinazione del  rischio inerente e, a fronte dell’attuazione di ulteriori misure di sicurezza, il titolare/responsabile del trattamento dovrà calcolare il rischio residuo, da poter confrontare con il livello di rischio giudicato accettabile.

La politica del rischio dell’organizzazione deve poi comprendere tutte le fonti di rischio che possono compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, tipiche proprietà che caratterizzano la sicurezza dell’informazione, a cui lo schema aggiunge anche la qualità del dato. Questo concetto è molto caro allo standard ISDP©10003 che definisce la qualità del dato nelle sezioni precedenti, prevedendone anche la misurazione. Evidentemente si tratta di un concetto superiore all’integrità del dato, che presuppone la sua correttezza. Garantire la sicurezza in termini di integrità del dato significa che se un dato è memorizzato in un campo di un sistema informativo quel dato rimane sempre uguale se non viene modificato volontariamente. Garantire la qualità del dato, invece, significa garantire che quel dato sia sempre esatto ed aggiornato rispetto alla fonte che lo ha generato; ad esempio, che un indirizzo o un numero telefonico sia quello aggiornato alla data. Ciò presuppone un comportamento proattivo dell’organizzazione titolare o responsabile del trattamento finalizzato a preoccuparsi che tutti i dati raccolti siano corretti ed aggiornati. Naturalmente ciò si applica solo quando la qualità del dato risulta essere importante per i diritti e le libertà dell’interessato.

Nel processo di valutazione del rischio lo schema introduce, come sopra esposto, il c.d. rischio inerente (Ri), definito in una nota come il rischio relativo al trattamento prima delle eventuali mitigazioni (rischio lordo) (cons. 83 riga 2 Reg. UE 20161679). Letto anche il Considerando 83 verrebbe da chiedersi cos’è il “rischio inerente al trattamento”.

Una definizione corretta potrebbe essere la seguente: Il rischio inerente è il rischio attuale e potenziale cui il soggetto è esposto in ragione dell’attività concretamente svolta nel suo complesso. Quindi il rischio inerente va calcolato a prescindere dai controlli, presidi o misure di sicurezza applicate per mitigare il rischio. Dopo l’applicazione dei controlli e delle misure di mitigazione il rischio si attenua e diventa il rischio residuo.

Tra le varie metodologie di valutazione del rischio lo schema ISDP impone dei vincoli, quello di determinare il rischio inerente ed il rischio residuo attraverso un metodo (un algoritmo) oggettivo e ripetibile.

Come si calcola il rischio inerente? Anche ChatGPT potrebbe fornirci una risposta attendibile.

Il rischio inerente si calcola valutando la probabilità di una possibile violazione dei dati personali e il possibile impatto che questa violazione potrebbe avere sulle persone interessate.

Per calcolare il rischio inerente, si possono utilizzare diverse metodologie e framework, come ad esempio quello proposto dal NIST (National Institute of Standards and Technology), che prevede una valutazione basata su tre fattori principali:

1. Probabilità: la probabilità di una violazione dei dati personali in base alle minacce esistenti e alle vulnerabilità presenti nei sistemi e nei processi di trattamento dei dati.
2. Impatto: l’impatto che una violazione dei dati personali potrebbe avere sulle persone interessate, come la perdita di informazioni sensibili, la violazione della privacy o l’uso improprio dei dati personali.
3. Magnitudine del rischio: la gravità del rischio inerente, che dipende dalla combinazione della probabilità e dell’impatto.

La valutazione del rischio inerente può essere effettuata utilizzando un punteggio numerico o una scala di valutazione per ogni fattore, in modo da ottenere una valutazione complessiva del rischio.  Il calcolo può essere fatto moltiplicando i valori di Probabilità ed Impatto, introducendo un eventuale fattore correttivo di ponderazione.

Lo schema ISDP, inoltre, prevede un monitoraggio delle misure di sicurezza adottate a seguito della valutazione del rischio ed un monitoraggio dei risultati della valutazione del rischio stessa. Tale monitoraggio va effettuato anche attraverso audit interni ed audit sui Responsabili del trattamento.

SUPPORTO

In questa sezione lo standard stabilisce che il Titolare/Responsabile deve mettere in atto misure tecniche ed organizzative adeguate a garantire la sicurezza e l’esattezza dei dati personali e deve essere in grado di dimostrarlo.

Nel resto della sezione c’è di tutto un po’: definizione ed attuazione di policy per la protezione del dato personale, predisposizione di procedure documentate, adeguatezza delle risorse umane, formazione e consapevolezza del personale, vincoli di riservatezza, istituzione di audit interni e verso i responsabili del trattamento e così via.

Vengono poi anche stabiliti alcuni elementi per verificare l’adeguatezza dei processi interni, tra cui la verifica della minimizzazione dei dati trattati, dei rapporti fra contitolari, fra titolare e responsabile, ecc.

Nella medesima sezione vi è anche un punto specifico sulla nomina del Responsabile della Protezione Dati (DPO), necessario, peraltro, quando il GDPR stesso lo richiede.

Alla “Formazione” viene dedicato un punto specifico nel quale si enfatizza la necessità di attuare un processo di formazione pianificato e puntuale, del quale occorre dare evidenza attraverso opportune registrazioni dell’avvenuta formazione ed eventuali test di valutazione delle competenze se del caso.

Gran parte di questi compiti sono assegnati al RPD, che deve anche definire le competenze minime per il personale.

Il successivo punto “Documentazione” esplicita tutti i documenti (lo schema non cita il termine “informazioni documentate”) che è necessario predisporre per la certificazione, comprendente

1. Modello organizzativo privacy o documento equivalente: di fatto una sorta di Manuale di Gestione della Privacy, eventualmente costituito da una serie di documenti.
2. Registro dei trattamenti
3. Valutazione del rischio e relativa metodologia adottata
4. Procedure che regolano la raccolta ed il trattamento dei dati, l’esercizio dei diritti dell’interessato, la gestione dei data breach, la valutazione delle misure di sicurezza, la gestione della Privacy-by-Design e Privacy-by-default, gli audit interni, ecc.
5. Relazione annuale del DPO e Relazione dell’Amministratore di sistema.
6. Documentazione tecnica specifica del prodotto, processo o servizio oggetto di certificazione.

ATTIVITÀ OPERATIVE

Il titolare deve dimostrare la propria responsabilizzazione (accountability) nel conformarsi al GDPR attraverso scelte motivate ed adeguata documentazione del Modello Organizzativo Privacy (MOP) adottato.

La documentazione minima richiesta per dimostrare la conformità al regolamento UE 679 è costituita da:

• Mappatura dei trattamenti di dati personali (occorre scendere in un elevato livello di dettaglio, lo schema cita l’esempio dell’invio di allegati a messaggi di posta elettronica).
• Registro dei trattamenti
• Valutazione del rischio
• Valutazione di impatto (se necessario)

In questa sezione viene richiesta l’applicazione dei princìpi di Privacy by Design e Privacy by Default prima dell’avvio di nuovi prodotti e servizi (è implicito che rientrino nel campo di applicazione della certificazione) attraverso definizione di politiche, processi e misure di sicurezza.

Viene poi introdotto il requisito del “Controllo dei processi, prodotti e servizi forniti dall’esterno”, del tutto analogo all’omonimo requisito delle norme sui sistemi di gestione ISO 9001 e ISO 27001. Il fornitore deve essere sottoposto ad un processo di valutazione e qualifica, nel quale si dovrebbe tenere in considerazione la classificazione dei dati personali che dovranno essere trattati nella sua attività.

MONITORAGGIO

L’efficacia delle politiche e delle misure di sicurezza attuate deve essere valutata in primis attraverso audit interni ed esterni, per i quali vigono le stesse regole dei sistemi di gestione (programmazione in base all’importanza e alla criticità dei trattamenti, definizione dei criteri, registrazione dei risultati).

Nelle attività di monitoraggio occorre valutare la puntuale applicazione delle procedure, il Documento di mappatura dei trattamenti, il Registro dei trattamenti, il Documento aggiornato di valutazione dei rischi, il monitoraggio della Valutazione d’Impatto, Informazioni e statistiche puntuali o a campione di controllo sulla qualità ed esattezza dei dati contenuti negli archivi di dati personali, lo stato delle eventuali azioni correttive, l’analisi delle procedure relative ad informative e consenso, l’analisi del corretto rispetto dei diritti degli interessati e le modalità di campionamento interno dei trattamenti per il controllo.

Infine la sezione tratta le modalità di valutazione delle procedure dei responsabili (del trattamento) per la conduzione di audit di seconda parte (riscontro di garanzie sufficienti per assicurare la conformità dei processi di trattamento a loro affidati, misure di sicurezza tecniche ed organizzative adottate, ecc.).

MIGLIORAMENTO

Il titolare o il responsabile deve valutare continuamente le procedure di valutazione del rischio, mantenendo un registro dei rischi, al fine di identificare quei rischi che richiedono interventi migliorativi delle misure di sicurezza.

Il monitoraggio deve prevedere alcune azioni minime, tra cui flussi informativi costanti don il RPD (DPO) e la Direzione, la valutazione dell’efficacia delle azioni di trattamento dei rischi, il coinvolgimento del personale e così via.

Nel requisito “Rilievi e azioni correttive” è prescritta una procedura per registrare i rilievi che dovranno essere classificati (lo schema ISDP©10003 definisce non conformità/carenze, osservazioni e commenti) ed affrontati con azioni finalizzati ad eliminarne le cause, attraverso, se del caso, idonee azioni correttive che dovranno essere gestite come avviene negli altri sistemi di gestione (analisi delle cause, pianificazione dell’azione correttiva, attuazione, verifica di efficacia, secondo il classico ciclo PDCA).

L’unica cosa che si discosta da altre norme su sistemi di gestione (ISO 9001 in primis) è che le azioni correttive dovrebbero esistere solo per affrontare non conformità o problemi effettivamente verificatisi, mente ad es. un rilievo classificato come commento necessiterebbe di un’azione “preventiva” secondo quanto era definito nelle versioni precedenti della ISO 9001 (dal 2008 indietro) o nella specifica IATF 16949 per l’automotive.

OBIETTIVI DI CONTROLLO

L’appendice A dello schema ISDP©10003, in completa analogia con la norma ISO 27001, riporta un nutrito elenco di obiettivi di controllo e controllo che un’organizzazione certificanda dovrebbe adottare. Essi, organizzati in 7 macroprocessi, consentono di analizzare gli elementi forndamentali che caratterizzano i trattamenti di dati personali: caratteristiche dei dati personali, procedure e processi, sistemi tecnici e tecnologici (hardware e software) per il trattamento dati.

Dagli obiettivi di controllo discendono i controlli (oltre 130) che coprono tutti gli elementi del GDPR ed includono anche elementi di tipo organizzativo e gestionale, come l’istituzione di un Comitato Privacy e la conduzione di un riesame della direzione. Tali controlli possono essere tranquillamente trasformati in una check-list per verificare la conformità di un modello organizzativo privacy. Anzi una check-list in Excel con alcuni automatismi per determinare una valutazione ponderata dell’organizzazione auditata è reperibile sul sito INVEO previa registrazione (https://www.in-veo.com/privacy-tools-new/16-compliance-checklist-isdp-10003-2020) ed utilizzabile con qualche limitazione.

CONCLUSIONI

Sebbene lo schema presenti qualche ridondanza dovuta alla ripetizione di requisiti in punti diversi dello standard è sicuramente un modello completo al fine di perseguire la conformità al GDPR.

In conclusione, lo schema di certificazione ISDP©10003 è un ottimo strumento per le organizzazioni che desiderano dimostrare il loro impegno nella protezione dei dati personali e aumentare la loro reputazione sul mercato. La certificazione ISDP©10003 può aiutare le organizzazioni a identificare eventuali vulnerabilità nei loro sistemi e processi di protezione dei dati e a implementare misure per prevenirle, garantendo al tempo stesso la conformità alle normative internazionali sulla protezione dati.

L’ottenimento della certificazione sul GDPR costituisce comunque un obiettivo ambizioso, poiché sono ben poche le organizzazioni che dispongono di un sistema di gestione o modello organizzativo privacy pienamente conforme alle normative, tuttavia l’ISDP©10003 rappresenterà, una volta approvato come standard di certificazione sul GDPR, una strada più agevole – per costi e impatto – di altre per qualificarsi nel settore della protezione dati, anche per organizzazioni medio piccole. La stessa ISO 27701, pur non costituendo una certificazione specifica sul GDPR, non può prescindere da una certificazione ISO 27001, di per sé piuttosto impegnativa.

La possibilità di certificare soltanto un prodotto, processo o servizio e di restringerla alle attività svolte anche solo come Responsabile del Trattamento, apre le porte a soluzioni più snelle per qualificare determinate forniture di prodotti e/o servizi in certi ambiti (es. sanità). Al di là dell’obiettivo di perseguire ed ottenere una certificazione specifica sul GDPR, questo schema può fornire numerosi spunti per progettare e/o migliorare il proprio modello organizzativo privacy, indipendentemente dal fatto che la certificazione ISDP©10003 è orientata prodotti, processi e servizi, lo schema può essere tranquillamento adattato e preso a riferimento per il proprio “sistema di gestione privacy” volontario.

In un mio precedente articolo L’aggiornamento della valutazione dei rischi dopo la pandemia parlai dell’aggiornamento della valutazione dei rischi post-pandemia.

Ora tutte le aziende certificate ISO 9001 (e non solo) dovrebbero aggiornare la loro valutazione dei rischi, come previsto dalla norma, ma anche da buone prassi aziendali, per affrontare il futuro con consapevolezza.

Ad inizio 2022 il risk assessment non può prevedere solo aggiornamenti legati all’evoluzione della pandemia Covid-19, ma anche ad altri fattori che incidono profondamente sul contesto esterno delle nostre imprese: aumento dei costi dell’energia, aumento dei costi delle materie prime e di diversi componenti elettronici, legato strettamente alla carenza delle medesime materie prime e componenti. L’aumento dell’inflazione ed una probabile crisi dei consumi è una logica conseguenza di tutti questi fattori.

Qui, naturalmente, possiamo solo esaminare il cosiddetto “contesto esterno” applicabile a quasi tutte le imprese, mentre il “contesto interno” dipende da ogni singola realtà, ma è altrettanto condizionato dai fattori esterni citati.

Oltre ai fattori sopra elencati, tutti negativi (salvo in particolari settori dell’economia), occorre considerare l’impatto dei fondi europei, del PNNR e degli Ecobonus. Queste agevolazioni possono avere un’influenza positiva su determinati settori (si pensi al rifinanziamento del bonus 110% per il settore dell’edilizia, compresi i progettisti).

Ma vediamo come valutare i principali fattori di rischio che incombono nel 2022.

Il principale, probabilmente unico rischio per il quale non esistono contromisure di tipo economico, è sicuramente quello legato al Covid.

Qui le aziende dovrebbero esaminare ed aggiornare il contesto generale e quello particolare. Il contesto generale riguarda ovviamente l’impatto del Covid sul mondo esterno all’azienda, sui clienti, sui fornitori, sui servizi di logistica e trasporto, ecc.; mentre il contesto interno riguarda l’impatto del Covid – presente e futuro – sull’operatività interna.

È molto difficile valutare correttamente e consapevolmente questi rischi, anche perché la situazione muta con grande velocità, le previsioni fornite dalle Autorità e dagli Enti preposti si sono dimostrate inattendibili  e la continuità aziendale è messa a repentaglio non solo dal rischio pandemico vero e proprio, ovvero – come potrebbe avvenire per una qualsiasi altra epidemia – per la possibile assenza di personale (dipendenti e collaboratori) per un periodo più o meno limitato nel tempo, ma in percentuale considerevole rispetto alla forza lavoro dell’azienda. Infatti, i vincoli di legge, legati a quarantene, possesso del green pass base o rafforzato, limitazioni nei trasporti, ecc. potrebbero essere più penalizzanti del Covid vero e proprio. Ogni azienda dovrebbe guardarsi dentro e capire qual è la propria situazione: la presenza di personale non vaccinato (magari anche perché dovrebbe avere un’esenzione, ma non ce l’ha) potrebbe presto costituire un problema, soprattutto se tali persone ricoprono ruoli critici. Insomma, la cura potrebbe essere peggio della malattia.

In questi casi le imprese di servizi che possono permettersi di mantenere il personale in smart-working hanno un grosso vantaggio: minori rischi di contagio fra il personale, nessun obbligo di green pass o super green pass (necessari per “accedere ai luoghi di lavoro”).

Il contesto generale è tale per cui oggi abbiamo oltre 2 milioni di persone positive ed alcuni milioni di loro contatti in quarantena, auto-sorveglianza o quant’altro si inventano ; dunque, è molto probabile che qualcuno degli interlocutori esterni (clienti, fornitori e soggetti terzi che svolgono servizi) non sia al momento al lavoro, pertanto anche spostarsi con mezzi pubblici ed usufruire di altri servizi, anche di assistenza, potrebbe essere un problema. Tutto questo significa minor efficienza, ritardi e maggiori costi, che si sommano ai costi di prevenzione imposti dalle norme di lotta al virus (a mascherine, disinfettanti e misurazione della temperatura si sono aggiunti i costi legati al controllo del green pass, oltre alle informative varie). Questi costi, uniti ad un’organizzazione del lavoro prudente, non necessariamente favoriscono tutti una diminuzione del rischio, in quanto alcuni sono determinati da leggi che non dipendono dalle imprese e dal contesto in cui operano, leggi che purtroppo variano con frequenza troppo elevata.

Qualche azienda ha provato a definire dei controlli sanitari più restrittivi ed efficaci (ad esempio tamponi antigenici per tutti, non solo per i non vaccinati), accollandosene i maggiori costi, ma riducendo i rischi reali. Altre si sono fatti carico dei tamponi periodici per i non vaccinati, al fine di mantenere la continuità del lavoro, ma anche in questo caso i costi aumentano.

Parafrasando la teoria giapponese dello “zero difetti”, l’obiettivo “zero contagi” non è perseguibile dalla singola realtà, ma potrebbe esserlo solo da un intero Stato, forse dall’intera UE. Viceversa, in Asia la politica sembra essere questa: non appena il numero di contagi sale chiudono il più possibile le attività locali al fine di debellare il Covid-19. E sembra che siano molto più vicini ad una vita normale di quanto lo siamo noi europei. Ma queste scelte e decisioni non sono all’appannaggio di singole imprese, ma solo dello Stato o della Comunità europea. Se le scelte sono sbagliate le imprese le subiranno e basta, la storia ci dirà chi ha avuto ragione perché alcune economie potrebbero avvantaggiarsi rispetto ad altre.

Un effetto collaterale legato al Covid ed alle diverse situazioni nei vari Paesi è legato al forte rischio nelle delocalizzazioni. La continuità produttiva in una fabbrica lontana dal nostro Paese potrebbe essere minacciata e subire rallentamenti indipendentemente da quello che accade nel sito produttivo principale; ma anche nel caso in cui la fabbrica delocalizzata funzioni regolarmente potrebbero verificarsi problemi nei trasporti e nella logistica tali per cui le merci sono pronte, ma non possono essere consegnate.

Di questi tempi una supply chain corta e geograficamente contenuta è certamente una scelta meno rischiosa.

Altro fattore di rischio molto significativo è costituito dall’aumento dei costi energetici che comporterà sicuramente un notevole incremento dei costi fissi e – per molte aziende industriali – anche un aumento dei costi indiretti della produzione. Oltre ad allocare correttamente questi costi ed attuare un efficace controllo di gestione con la rielaborazione dei costi dei prodotti e la conseguente rideterminazione del prezzo di vendita, le imprese hanno la possibilità di ridurre l’effetto di questi aumenti. Ciò può avvenire attraverso il ricorso a servizi specializzati di gestione dell’energia, finalizzati ad ottenere una corretta gestione dei consumi, l’adesione a Gruppi di Acquisto dell’energia, l’efficientamento energetico a partire da una diagnosi energetica e così via. Oggi una politica di risparmio delle risorse naturali paga più che in passato.

Il terzo, ma non meno importante, fattore di rischio emergente nel 2021 è stato il forte incremento dei costi delle materie prime, conseguente ad una carenza di materie prime ed anche di alcuni componenti elettronici, talmente grave da bloccare alcune catene produttive, ad esempio quella dell’automotive.

In questo caso l’impatto per la produzione è diretto e particolarmente significativo, anche se alcune aziende di servizi sono state coinvolte dalla carenza di chip per le proprie apparecchiature elettroniche.

La situazione ha “fatto saltare” alcune metodologie consolidate come il “Just in time” e la minimizzazione delle scorte di magazzino è diventata un difetto, non un pregio. Certe materie prime si acquistano come un titolo in Borsa, permettendo speculazioni scommettendo sul rialzo dei prezzi.

Qui da un lato occorre rischiare acquistando più del dovuto, ma garantendosi la continuità della produzione ed il rispetto dei tempi; dall’altro è opportuno ricalcolare il costo del prodotto ed alzare i prezzi, di conseguenza, rischiando che il cliente si rivolga ad altre offerte più convenienti. In quest’ultimo caso il competitor probabilmente non avrà vita lunga, perché prezzi inferiori potranno essere garantiti solo producendo con una qualità molto inferiore e con margini minimi o nulli, se non negativi.

Anche in questo caso un adeguato sistema di controllo di gestione può aiutare molto ad intraprendere le decisioni corrette.

Come si vede occorre fare tesoro degli insegnamenti delle normative e delle buone prassi, oltre che delle migliori teorie di management, cercando di applicarle alla propria organizzazione. Purtroppo, le imprese italiane, sebbene siano tra le più certificate al mondo su ISO 9001 ed altre norme sui sistemi di gestione, raramente hanno un sistema di gestione veramente efficace che considera tutti gli aspetti. Spesso si valutano solo gli aspetti economico-finanziari senza guardare cosa ci sta dietro ai numeri, oppure si valutano solo meri indicatori commerciali o produttivi, senza sapere se producono effettivamente margini economici.

Gli scossoni che il mondo ci sta facendo sopportare in questi ultimi anni potrebbero fare molti danni, annientare interi settori merceologici ed esaltarne altri, creando disuguaglianze. Come in una guerra avremo probabilmente molti caduti (imprese chiuse), che saranno i più sfortunati (annientati dal Covid e dalla sua gestione) ed i più deboli. Ma se i primi possono solo cambiar mestiere, i secondi potrebbero essere più forti, volendolo.

Nel 2022 il ruolo dell’imprenditore è molto più difficile che in passato, anche se l’azienda ha molto lavoro e sta andando bene.

Oggi, più che mai, bisogna essere in grado di valutare attentamente i rischi che incombono sulla propria organizzazione, analizzando dati di fatto ed adottando azioni concrete di prevenzione e/o protezione dai rischi più importanti, senza farci illudere dal PIL che cresce del 6% nel 2021. 

Il nuovo art. 2086 del Codice Civile riporta quanto segue:

“Gestione dell’impresa

1. L’imprenditore è il capo dell’impresa e da lui dipendono gerarchicamente i suoi collaboratori.

2. L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale.”

Le PMI si stanno adeguando?

Già dal marzo 2019, con il Codice della Crisi, tutti gli Amministratori d’Impresa che non si saranno dotati di adeguati assetti organizzativi, amministrativi e contabili capaci di intercettare in tempo utile le avvisaglie delle eventuali crisi dell’impresa e la perdita della continuità aziendale, sono tenuti a rispondere anche con il proprio patrimonio in caso di insolvenza (il VI comma dell’art. 2476 C.C. infatti, ha fatto sorgere in capo agli amministratori, che non hanno adeguatamente protetto l’azienda e quindi non hanno adottato le disposizione dell’art. 2086 II comma C.C., la responsabilità diretta, solidale dei debiti della società). Purtroppo, la crisi derivante dal Covid (non per tutti, anzi) ha fatto dimenticare questo adempimento, ma le novità legislative hanno di fatto introdotto la necessità, per le imprese, di dotarsi di strumenti in grado di rilevare e superare la crisi e recuperare la continuità aziendale. Non solo gli Amministratori, ma anche i sindaci e i revisori di società sono di fatto tenuti alla verifica della corretta applicazione di suddette norme a pena di una corresponsabilità nel caso in cui sopraggiunga una crisi dell’impresa-

Come in altre situazioni (ad es. efficacia del Modello Organizzativo ex D.Lgs 231/2001) saranno i Giudici dei Tribunali a stabilire se un’azienda ha adottato un adeguato assetto organizzativo, amministrativo e contabile? Purtroppo sì e sta già accadendo.

Se da un lato sono stati definiti degli indicatori di allerta per rilevare le avvisaglie della crisi di impresa, il loro calcolo può presentarsi talvolta non pienamente attendibile e, comunque, non può rappresentare la dimostrazione di aver adottato un adeguato assetto organizzativo, amministrativo e contabile. Tali indicatori di early warning, infatti, sono i seguenti:

1. Patrimonio netto: se negativo, indica una situazione di piena crisi; 
2. DSCR previsionale a 6 mesi: è un Indicatore predittivo in quanto indica la sostenibilità dei debiti almeno per i 6 mesi successivi.   Non deve essere < 1Rapporto Oneri finanziari / ricavi: non deve essere superiore ai valori soglia 1,5%-3,8% nelle rispettive aree settoriali;
3. Rapporto Oneri finanziari / ricavi: non deve essere superiore ai valori soglia 1,5%-3,8% nelle rispettive aree settoriali;
4. Rapporto Patrimonio netto / mezzi di terzi: non deve essere inferiore ai valori soglia che oscillano tra 2,3%- 9,4%;
5. Rapporto Attivo a breve/Passivo a breve: non deve essere inferiore ai valori soglia che variano dal 69,8% al 108%;
6. Rapporto Cash flow/attivo: i valori soglia proposti variano da un minimo del 0,3% ad un massimo del 1,9%.

Qualche dettaglio ulteriore sul DSCR (Debt Service Coverage Ratio): è il «rapporto di copertura del servizio del debito». È un indice che misura la sostenibilità finanziaria del debito aziendale, cioè la capacità futura (nei prossimi 6 mesi) di un’impresa di onorare i propri debiti finanziari con i flussi di cassa generati dalla gestione operativa. Il DSCR è un indice che ha al numeratore il “cash flow operativo” e al denominatore il “cash flow al servizio del debito”. È un indice importante, perché ci fa capire se un’azienda produce, dalla sua gestione caratteristica, un ammontare di cassa sufficiente a pagare i debiti contratti. Esso, dunque, si calcola come rapporto tra il cash flow prodotto dalla gestione operativa (numeratore) e gli impegni finanziari assunti in termini di quota capitale ed interesse oggetto di rimborso nell’orizzonte temporale considerato (denominatore).

Lo strumento consente di valutare la sostenibilità dell’indebitamento in ottica prospettica: il periodo da considerare sono i 6 mesi successivi all’analisi. Vengono inseriti quindi sia gli interessi che la quota di debiti da rimborsare, così come previsto dai piani di ammortamento.

Dunque forse solo quest’ultimo indicatore ha una prospettiva futura attendibile, anche se le previsioni sugli incassi di alcuni crediti spesso possono essere molto soggettive.

Del resto tutti gli indicatori che derivano dall’analisi di bilancio (i c.d. indici di bilancio) presentano la carenza intrinseca di essere calcolati a consuntivo, dopo l’approvazione del bilancio, dunque con un ritardo eccessivo rispetto al momento in cui si sono svolti i fatti che hanno provocato gli effetti sul bilancio raccontati dagli appositi indici. Gli stessi indici possono altresì essere calcolati con maggior frequenza e maggior tempestività, ma risentono comunque di u n elevato livello di imprecisione, dipendente dalle caratteristiche dell’azienda (ad es. le imprese di servizi che operano su commessa non possono essere monitorate nel breve periodo da ricavi e cash flow a breve).

Sono tutti d’accordo che per dimostrare di aver adottato adeguati assetti organizzativi ci vuole altro, ma cosa?

Da parte di diversi soggetti (tra cui Enti come il CNDCEC e ASSONIME), esperti in vari settori, sono “sbocciate” diverse soluzioni e strumenti correlati che hanno lo scopo di affrontare il monitoraggio dell’andamento dell’impresa da diversi punti di vista. Un elenco, per nulla esaustivo, degli strumenti ritenuti necessari (ma non sempre sufficienti) per dimostrare di aver adottato adeguati assetti organizzativi, amministrativi e contabili può essere il seguente:

• Cruscotti /dashboard di indicatori di vario tipo, quantitativi e/o qualitativi
• Balanced scorecard
• Sistema di gestione per la qualità ISO 9001 e relativa certificazione
• Modello organizzativo secondo il D. Lgs 231
• Credit Risk Management System (CRMS) comprendente l’addendum EFRMS e relativa certificazione EFRMS 14:2019 Economical Financial Risk Management System
• Analisi SWOT e analisi del contesto
• Mappa strategica
• Business Plan
• Valutazione dei rischi di business
• Innovation Management
• Modello UMIQ
• Controllo di gestione
• Budgeting
• Pianificazione strategica
• Organigramma e mansionario, job description
• Procedure documentate che descrivono i processi aziendali
• Software Gestionali e MES
• Ecc.

Premesso che un po’ tutti questi strumenti possono essere utili, ma non indispensabili, ritengo che ogni Società dovrebbe identificare i propri obiettivi di business e cercare di raggiungerli attraverso una pianificazione strategica che preveda il monitoraggio di indicatori in grado di misurare tutti i processi aziendali. In pratica è quello che si prevede nella norma ISO 9001 e nella norma ISO 9004, ma purtroppo poche aziende hanno recepito nel modo corretto questi principi.

Sicuramente le Balanced Scorecard, attraverso le quattro prospettive, hanno ben accolto l’esigenza di monitorare non solo gli aspetti finanziari o non solo quelli produttivi. Ma non si limitano a questo, la metodologia di Kaplan e Norton è molto più ampia.

Alcuni modelli per il calcolo di indicatori hanno il difetto di rispondere ad una valutazione puramente qualitativa e soggettiva ad alcune domande di una check-list/questionario, senza entrar nella specificità delle dinamiche aziendali.

Il modello di gestione aziendale che prevede assetti organizzativi, amministrativi e contabili adeguati è sicuramente quel modello che si dimostra più efficace (ed anche efficiente) per monitorare l’andamento aziendale e, quindi, anche in grado di prevedere con elevato livello di attendibilità l’immediato futuro. Quindi, unitamente agli indicatori di early warning sopra menzionati, permette all’imprenditore di “alzare la mano” e chiedere aiuto prima che la crisi aziendale diventi irreversibile e, dunque, rivolgersi all’OCRI, l’Organismo di Composizione della Crisi d’Impresa appositamente predisposto ed in conclusione di evitare lo spettro della “bancarotta fraudolenta” che il Legislatore paventa per quegli amministratori che non hanno dotato l’impresa di adeguati assetti organizzativi.

La misurazione dei processi aziendali dev’essere tempestiva e con frequenza adeguata a rilevare trend negativi che potrebbero consigliare l’adozione di azioni correttive tempestive per correggere la rotta.

Come sopra anticipato (e previsto anche dalla teoria delle Balanced Scorecard) è necessario tenere sotto controllo anche obiettivi ed indicatori legati allo sviluppo dell’impresa, alla conservazione ed acquisizione delle conoscenze necessarie per migliorare, alla formazione del personale, all’innovazione tecnologica.

Sappiamo che i bilanci non sono sempre buoni indicatori dello stato di salute di un’azienda, non solo per il ritardo con il quale vengono consuntivati i valori economico-finanziari ivi contenuti, ma anche perché potrebbero nascondere inefficienze ed obsolescenza dell’impresa, soprattutto in un periodo storico come quello che stiamo vivendo, nel quale la digitalizzazione e l’innovazione tecnologica è fondamentale per accrescere il valore dell’impresa.

In conclusione ogni azienda ha dei processi che rivestono un’importanza relativa diversa e dovrebbe individuare un set di indicatori idoneo a misurare i suoi processi.

Spesso, però, gli indicatori più idonei a misurare l’andamento di determinati processi aziendali necessitano di dati affidabili ed aggiornati, desunti possibilmente dai sistemi informativi aziendali. Questi ultimi rivestono, pertanto, un ruolo fondamentale anche nel dimostrare di avere adeguati assetti organizzativi.

Il 2020 ci ha portato la pandemia di Coronavirus, che può essere classificato come uno degli eventi più destabilizzanti dell’economia mondiale negli ultimi 10 anni, paragonabile solo alle grandi guerre a livello mondiale. Secondo la teoria della Business Continuity si tratta di una “disruption” (tradotto come “interruzione”, “disturbo” o “dissesto”) che, secondo la norma UNI EN ISO 22301 (Sistemi di gestione della continuità operativa) viene inteso come un incidente o evento (positivo o negativo) che provoca una interruzione nell’erogazione di prodotti e/o servizi.

Ma in quest’articolo non vorrei parlare di questa tematica e della resilienza necessaria alle imprese per riprendere le attività produttive o di erogazione di servizi in modo sufficientemente accettabile per tutte le parti interessate, bensì di come le imprese – soprattutto quelle medio piccole – dovrebbero modificare il loro approccio al controllo della gestione aziendale.

Da un punto di vista economico il Covid-19 ha portato a rivoluzionare molti punti fermi della teoria del controllo di gestione e molte assunzioni ed approssimazioni, ritenute pienamente accettabili e condivisibili un anno fa, oggi diventano estremamente imprecise.

DIverse aziende in questo periodo hanno profondamente mutato il modo di lavorare ed anche costi e ricavi ne hanno risentito. Non tutti e per tutti in senso negativo: indubbiamente in alcuni settori alcune realtà hanno visto incrementare i ricavi, altre hanno visto diminuire alcuni costi ed accrescerne altri.

Questi fenomeni hanno portato, come conseguenza, a non poter ritenere come quasi invariabili alcuni costi e/o variabili solo in modesta misura i ricavi. Prima si doveva poter prevedere una crescita dei ricavi del 10-15% al massimo o una decrescita degli stessi di percentuali analoghe, ora il 2020 per molte realtà si è prospettato come un anno con decrementi di fatturato molto più significativi, parzialmente compensati da un calo di alcuni costi in maniera altrettanto significativa (si pensi, ad es., alla Cassa Integrazione che – ritardi a parte – ha contribuito alla diminuzione dei costi del personale dipendente in molte aziende).

Anche solo la modalità di lavoro in smart-working ha comportato per diverse imprese la variazione di diverse voci di costo: da un lato si sono ridotti alcuni costi – quali ad es. quelli relativi alle utenze di energia elettrica -, dall’altro si sono registrati costi straordinari – ad es. per pulizie aggiuntive e sanificazioni dei locali, implementazione di procedure e processi ICT per consentire il lavoro da remoto – e di conseguenza si rende necessaria una revisione delle politiche di consuntivazione e previsione dei costi stessi.

A fine 2020 (o inizio 2021 vista l’incertezza della situazione pandemica mondiale) le imprese si sono trovate a dover pianificare le attività per il 2021 e predisporre il relativo budget dei ricavi e dei costi. Purtroppo, molte aziende non sono in grado di ipotizzare né l’uno né l’altro con un livello di approssimazione accettabile. Quindi come bisogna operare? Lasciar perdere tutto e vivere alla giornata? Certamente no.

Occorre ripensare ai costi ed ai ricavi registrati nel 2020 e ripensare i consuntivi dell’anno appena passato e le previsioni per il 2021. Non potendo fare previsioni a medio-lungo termine è importante fare previsioni a breve ed aggiornarle costantemente in base ai risultati raggiunti nell’ultimo periodo.

Guardando al 2020 e proiettando l’esperienza nel 2021 bisogna rivedere i criteri di ripartizione dei costi fissi (si veda gli articolo Abbattere i costi fissi o ridurre realmente tutti costi?, Valutare correttamente i costi indiretti ed i costi fissi, I centri di costo, questi sconosciuti) che non sono più così stabili al variare dei ricavi, così come i costi variabili che non variano più in modo proporzionale ai ricavi. Infatti, oltre una certa percentuale di variazione dei ricavi (in diminuzione, ma anche in crescita talvolta) alcuni costi possono avere un andamento non direttamente proporzionale ai ricavi.  Questo perché alcuni costi direttamente imputabili alla produzione (o erogazione di servizi) non variano in modo proporzionale ai ricavi o ai volumi produttivi. Se i ricavi calano perché i prodotti e/o servizi si vendono in misura inferiore e con tempi più lunghi, la produzione potrebbe accumulare scorte di prodotti finiti invenduti. Dunque, il processo produttivo potrebbe rallentare in misura inferiore o ritardata rispetto all’andamento dei ricavi.

Di contro le imprese non hanno potuto ridurre conseguentemente i costi del personale diretto (salvo il ricorso alla Cassa Integrazione) e delle altre risorse produttive dirette.

Facciamo un esempio per chiarire meglio questo concetto: se nel corso dell’ultimo anno la mia autovettura ha percorso 10.000 km anziché i consueti 30.000, sicuramente ho risparmiato in misura proporzionale i costi del carburante, ma la manutenzione generale (cambio olio, ecc.) comunque la dovrei sostenere ugualmente, gli pneumatici si saranno usurati meno, ma comunque il cambio pneumatici estivi-invernali lo devo sostenere ugualmente. Lo stesso accade per gli impianti produttivi.

Poi occorre analizzare la gestione – ed i relativi costi – del personale indiretto. Purtroppo, alcune imprese, nel tentativo di ridurre i costi del personale all’inizio della pandemia, hanno fatto un ricorso dissennato alla Cassa Integrazione ed alle ferie “obbligate” dei propri dipendenti, mettendo “a riposo forzato” le risorse che ne avevano i requisiti da un punto di vista “contabile”, magari depauperando interi reparti vitali per il prosieguo dell’attività dell’azienda.

Come in tutte le situazioni di crisi (economica, pandemica, dovuta a disastri naturali, ecc.) si avvantaggia chi dispone di sistemi di monitoraggio e misurazione dei parametri produttivi ed economici precisi e tempestivi e che, quindi, è in grado di reagire tempestivamente con azioni correttive consapevoli alle variazioni degli indicatori principali.

Quindi quando le previsioni saltano è comunque importante avere una consuntivazione tempestiva e precisa. Il successo durevole dell’azienda dipende poi dalla lungimiranza del management, dalla corretta lettura degli indicatori, da una efficace analisi dei rischi. Su quest’ultimo punto – è bene ribadirlo – molte imprese si giocano il loro futuro; infatti, si presentano molte situazioni che possono essere considerate come minacce od opportunità:

• Concedere credito a clienti in difficoltà al fine di mantenerne la fiducia?
• Come gestire le richieste di revisione dei contratti provenienti dal cliente?
• Procedere con acquisti di materia prima in lotti economici prevedendo un certo andamento delle vendite di prodotti finiti?
• Come gestire il rischio di contagio all’interno dell’azienda? Ricorrere allo smart-working sempre, dove possibile? Investire in misure di protezione sanitaria maggiormente efficaci per scongiurare i contagi?
• Investire nei sistemi informatici per garantire la continuità operativa anche da remoto?
• Investire in innovazione tecnologica dei sistemi ICT sfruttando i benefici del piano Industria 4.0?
• Utilizzare il tempo a disposizione del personale dovuto dal calo delle vendite per formare le risorse umane?
• Potenziare gli strumenti di commercializzazione dei prodotti on-line, attraverso il miglioramento del sito web, delle attività di web-marketing o introducendo sistemi di e-commerce?
• Rinegoziare i contratti per la fornitura di alcuni servizi (ad es. energia elettrica per le aziende più energivore) per adeguarsi al nuovo contesto?
• Pianificare periodi di chiusura aziendale per ridurre non solo i costi del personale, ma anche quelli legati dai consumi (energia elettrica, riscaldamento, ecc.)?

Non esiste una ricetta vincente. Ogni realtà merita un’analisi approfondita del contesto esterno (clienti, fornitori, situazione ambientale, contesto normativo, mercato, …) ed interno (fattori produttivi, risorse umane e tecnologiche, …) per poter decidere quali azioni è opportuno intraprendere e potrebbe essere utile un’analisi SWOT dettagliata per rendere edotto l’imprenditore sulla situazione. Si eda anche l’articolo L’aggiornamento della valutazione dei rischi dopo la pandemia.

Come conseguenza di tutte queste variabili da riconsiderare c’è da ricalcolare il costo del prodotto o servizio (vedasi anche l’articolo Come calcolare il costo “vero” del prodotto). Infatti, occorre considerare che diversi valori di input che contribuiscono al calcolo del costo del prodotto (e, conseguentemente dei margini di contribuzione e del prezzo) sono variati, anche in modo sensibile; per cui si potrebbe rivalutare l’economicità di un prezzo o della produzione di un determinato prodotto. Apparentemente sembrerebbe in controtendenza aumentare i prezzi dei prodotti quando tutti i clienti cercano di ridurre i costi, ma se la produzione si riduce oltre un certo limite i costi indiretti incidono in misura sempre maggiore sui costi dei singoli prodotti e si rischierebbe di produrre in perdita.

Naturalmente occorre svolgere un’attenta analisi del mercato, non fermandosi a valutare il comportamento dei propri clienti, ma provare ad immaginare il comportamento del cliente finale, ovvero l’utente, il consumatore. Molte PMI italiane, infatti, si trovano collocate in catene produttive molto articolate che assomigliano più a reti ad albero o strutture reticolari, piuttosto che a catene vere e proprie. Prendiamo ad esempio la filiera produttiva dell’automotive: a fronte di un costruttore di auto/moto che vende il suo veicolo sul mercato ci sono N componenti che costituiscono il primo livello della distinta base del prodotto e per ogni componente ci sono M altri componenti e per ognuno di essi ci possono essere più fornitori e così via. Una piccola o media impresa che produce componenti meccanici conto terzi (ce ne sono tantissime nel nostro territorio) spesso si trova oltre il quarto o quinto livello nella catena di fornitura del prodotto finale e questa filiera talvolta non rimane tutta sul territorio nazionale. Dunque, l’analisi del mercato diventa molto complessa, soprattutto in questo periodo di pandemia, quando la catena di fornitura si potrebbe spezzare o rallentare fortemente semplicemente perché un’azienda si trova in un territorio fortemente colpito dal virus o è essa stessa bloccata da contagi interni.

In alcuni casi dall’analisi del mercato e degli indicatori economici e produttivi interni all’impresa è opportuno prevedere un riposizionamento sul mercato implementando la produzione di prodotti diversi (vedasi il caso delle aziende convertitesi alla produzione di mascherine) o in diverso formato. Tipico è il caso della filiera dell’industria alimentare, a partire dalla materia prima fino ad arrivare ai prodotti venduti all’ingrosso o al dettaglio.

In conclusione, quali sono gli strumenti per gestire la resilienza (probabilmente siamo ancora in questa fase) e la ripresa che verrà? Occorre disporre di

• dati affidabili e puntuali sull’andamento dei fattori produttivi, dei costi e dei ricavi;
• sistemi ICT in grado di raccogliere ed analizzare i dati raccolti e trasformarli in indicatori (KPI) attendibili;
• sistemi informatici robusti a supporto dei processi aziendali per garantire costantemente la continuità operativa;
• capacità di analizzare dati e indicatori a consuntivo
• capacità di analizzare il mercato e di prevederne l’andamento futuro;
• capacità di valutare tutti i rischi di impresa e di trattarli in modo adeguato.

Per approfondimenti consulta i testi:

Gli indicatori di performance aziendali

Il controllo di gestione nelle piccolle imprese di servizi che operano su commessa

Tutti i moderni sistemi di gestione ci hanno insegnato che è necessario effettuare una valutazione dei rischi, con il focus su aspetti specifici del sistema di gestione di riferimento, in base al contesto interno ed esterno dell’organizzazione. E che tale valutazione va riesaminata o aggiornata con periodicità predefinita (ad es. annualmente in occasione del riesame di direzione) o allorquando mutano significativamente gli elementi che hanno contribuito alla valutazione stessa (fattori critici di successo, contesto interno ed esterno).

Ora tutte queste valutazioni vanno modificate, non perché ce lo dice la norma di riferimento (ISO 9001, ISO 27001, IATF 16949, ecc.), ma perché ce lo dice la coscienza del buon imprenditore, direttore generale, amministratore delegato, ecc.

Quante valutazioni dei rischi, anche quelle sviluppate negli ambiti più specifico come quella del BCMS della ISO 22301 sulla continuità operativa, avevano previsto il rischio pandemia come un rischio reale? Forse nessuna in questi termini. Tutti gli esperti ed i testi di risk management ci hanno sempre detto che bisogna considerare i rischi significativi considerando la loro gravità, in termini di conseguenze o impatto sul business, e la loro probabilità di verificarsi. Diverse tecniche di risk assessment prendono in considerazione questi due elementi espressi in una scala quali-quantitativa, di alto, medio o basso, di 1, 2, 3, 4 e così via. Quindi non dovevamo considerare l’asteroide che cade sulla terra, la guerra nucleare o … la pandemia mondiale. Perché, per quanto tali eventi possano essere devastanti la loro probabilità rasenta lo zero, l’altamente improbabile. I criteri di calcolo del rischio spesso riportano il livello minimo di probabilità (livello 1) come “un evento che non si è mai verificato, ma possibile”.

In realtà molte valutazioni dei rischi legate alla realizzazione di business continuity plan hanno considerato il rischio di un’epidemia di influenza che causi l’assenza prolungata di gran parte del personale dell’azienda, mettendo a repentaglio la continuità del business della stessa, ma ora la situazione è diversa: in molte realtà il personale sta benissimo, ma non può recarsi in azienda a causa delle restrizioni imposte dall’emergenza sanitaria Coronavirus.

Però in quest’articolo non voglio trattare il problema legato alla continuità operativa a fronte di un’interruzione provocata da una pandemia, voglio pensare al dopo, a quello che avverrà durante la ripresa, graduale, delle attività.

Ebbene, non tutte le imprese riescono oggi ad immaginarsi il “dopo”, però se la Direzione aziendale ha a disposizione alcune informazioni ed indicatori validi può prevedere quello che succederà, almeno in parte.

Naturalmente cambierà il mercato, il processo commerciale e di vendita di prodotti e servizi. Il contesto esterno è sensibilmente mutato e da un lato troviamo alcuni settori che non si sono mai fermati (es. alimentare) o che hanno incrementato sensibilmente le attività produttive e di erogazione di servizi (es. settore sanitario, medicale, farmaceutico, ecc.); dall’altro troviamo settori che saranno in piena crisi con riduzione sensibile del fatturato e rischio anche di chiudere le attività. Faccio ad esempio riferimento al settore turistico-alberghiero, ove alcune piccole realtà che hanno subito un fermo completo dell’attività per uno o due mesi se dovessero affrontare una stagione estiva con la clientela contingentata probabilmente non potrebbero raggiungere il punto di pareggio.

Dunque, l’imprenditore deve analizzare il proprio mercato di riferimento capire quali settori merceologici sta servendo e – nel caso di produzione di componenti o semilavorati conto terzi – quali settori merceologici sta servendo il proprio cliente. Mai come ora è importante la diversificazione della clientela e del relativo fatturato. Una concentrazione dei ricavi su pochi clienti o su un solo settore merceologico rappresenta normalmente un fattore di rischio.

Il comportamento dei clienti sarà fondamentale per capire quale ripresa ci potrà essere. Infatti, al di là del settore di appartenenza del cliente, occorre considerare quale strategia adotterà (o sta già adottando) il cliente. Purtroppo, già si percepisce che alcune aziende stanno bloccando gli ordinativi per timore di subire costi che poi ipoteticamente non potranno essere recuperati da adeguati ricavi, forse solo per paura di quello che potrà succedere in futuro. Il timore di investire sul futuro, sull’innovazione tecnologica, sull’innovazione di prodotto e servizio e sui nuovi scenari è certamente una strategia che penalizzerà diverse aziende. Potremo rivedere quello che si è già verificato nella crisi della fine degli anni ’10, ma più in grande: aziende che cercano di tagliare tutti i costi possibili e immaginabili per fronteggiare i cali momentanei di fatturato che poi vengono superate da altre aziende che hanno investito sul futuro. Il processo di riduzione indiscriminata dei costi, compresi quelli del personale, ha già prodotto nel recente passato impatti sociali importanti con diminuzione delle disponibilità economiche degli individui (soprattutto se paragonate con i cittadini di altri Paesi europei e del Nord America), diminuzione dei consumi, riduzione dei prezzi al fine di incrementare le vendite, ulteriore riduzione dei costi di produzione a scapito della qualità e così via in un ciclo tutt’altro che virtuoso.

In generale non tutte le aziende che lavorano nel settore meccanico, per realizzare prodotti su specifiche del cliente, sanno di preciso dove vanno a finire i componenti/prodotti che realizzano, ovvero qual è il prodotto finale ed a che filiera appartiene. È invece importante sapere se si sta lavorando per la filiera dell’automotive o dell’alimentare o del medicale.

Nel contesto esterno occorre esaminare anche i mutamenti che sono avvenuti e che si prospettano nel parco fornitori. Tutte le aziende hanno bisogno dei fornitori e talvolta non hanno mai cercato alternative per tutte le forniture critiche. Ora il nostro fornitore, soprattutto se si tratta di una piccola impresa, potrebbe aver difficoltà  a produrre a sua volta o addirittura potrebbe chiudere per motivi economico-finanziari o di salute della proprietà.

Dopo aver esaminato i rischi commerciali di sensibile perdita di ricavi e quelli legati all’indisponibilità delle fonti di approvvigionamento, dobbiamo esaminare il contesto interno, come si modificherà la produzione e/o l’erogazione di servizi nei prossimi mesi con eventuali limitazioni (distanziamento sociale, DPI, …). Potrebbero verificarsi impatti negativi sull’organizzazione della produzione e del personale che vi opera. Gli strumenti di pianificazione della produzione e dell’erogazione di servizi avranno nuovi input e nuovi vincoli da considerare e potrebbero dimostrarsi inadeguati a gestire la nuova realtà.

In base a quello che è stato il comportamento dell’azienda nei confronti del personale interno e delle reazioni delle risorse umane potrebbero configurarsi nuove situazioni e nuovi rischi di conflitto: personale che pretende misure di sicurezza migliori, che vorrebbe usufruire dello smart working in modo diverso, dispute con i sindacati, persone insoddisfatte della gestione di eventuali casse integrazioni, ferie imposte, ecc..

Dal punto di vista delle risorse tecniche e infrastrutturali potrebbe verificarsi la necessità di dover utilizzare in modo diverso le risorse produttive, rimandare l’acquisto di una nuova macchina o ripensare all’impiego di macchine differenti per affrontare le nuove esigenze produttive.

Sul fronte delle risorse tecnologiche può darsi che l’infrastruttura ICT si sia dimostrata inadeguata ad operare da remoto e, anche se è passata l’emergenza, le previsioni non escludono il verificarsi di una nuova pandemia di Coronavirus fintantoché non verrà diffuso un vaccino. Allora bisogna attivare l’accesso da remoto agli applicativi aziendali in modo sistematico, lo smartworking potrebbe diventare una modalità di lavoro standard, anche se non per tutte le giornate lavorative, per diversi dipendenti. I gestionali un po’ vecchiotti che non forniscono funzionalità web potrebbero essere sostituiti, il personale che ha evidenziato scarsa dimestichezza con i nuovi strumenti tecnologici per il lavoro a distanza potrebbe necessitare di formazione. La gestione della sicurezza informatica potrebbe essere ripensata nel nuovo contesto.

Nuovi rischi emergono, con probabilità di accadimento e gravità delle conseguenze differenti rispetto a qualche mese fa; dunque alcuni rischi che prima non necessitavano di trattamento dovranno essere affrontati con azioni opportune.

D’altro canto, potrebbero emergere nuove opportunità da considerare e valutare: indebolimento della concorrenza su certi mercati (il competitor potrebbe essere stato penalizzato su altri mercati e settori ed essere in difficoltà), possibilità di entrare in settori con buone prospettive future (ad es. medicale), e così via.

Soprattutto in questo periodo è estremamente attuale essere
in grado di pianificare la continuità operativa delle imprese, almeno per
quanto possibile.

Anche le aziende più preparate a gestire la business
continuity, forse, non hanno previsto una pandemia come quella del Covid-19,
o forse si erano prefigurati scenari diversi, nei quali le persone non sono in
grado di andare al lavoro a causa di epidemie di influenza o altre cause. In
questa fase che stiamo attraversando l’assenza di personale non è dovuta –
nella maggior parte dei casi – allo stato di malattia delle persone, ma alla
necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per
certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone
sono quasi tutte operative ed in grado di lavorare, ma non possono accedere
ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata,
affrontare situazioni di emergenza come questa che stiamo attraversando? O
meglio, come potrà pensare di affrontarle in futuro se si verificheranno?

Ci viene in soccorso lo standard UNI EN ISO 22301 (Sicurezza e resilienza – Sistemi di gestione
per la continuità operativa – Requisiti titolo originale “Security
and resilience – Business continuity management systems – Requirements”),
recentemente revisionato (edizione 2019) e tradotto in italiano dall’UNI e
pubblicati a febbraio 2020.

Come già visto in un precedente articolo sulla vecchia versione della norma (pubblicata dall’ISO nel 2012) , lo standard specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Le modifiche alla norma non hanno aggiunto nuovi
requisiti, ma solamente chiarito quelli già presenti, allineato la
norma alle altre norme sui sistemi di gestione e riorganizzato il capitolo 8,
vero cuore dello standard.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS)
enfatizza l’importanza di:

• comprendere le esigenze dell’organizzazione e le necessità per
  stabilire la politica e gli obiettivi per la continuità operativa;
• gestire e mantenere processi, capacità e
  strutture di risposta per garantire che l’organizzazione sopravviva a
  interruzioni;

• implementare e rendere operativi controlli e misure per gestire la
  capacità di un’intera organizzazione nella gestione delle interruzioni (discontinuità)
  dell’operatività dovute a cause accidentali;
• monitorare e riesaminare le
  prestazioni e l’efficacia del sistema di gestione della continuità
  operativa;
• migliorare in modo continuo
  il BCMS basato su metriche qualitative e quantitative (obiettivi misurabili).

Si ricorda che anche la norma ISO/IEC 27031 “Information technology — Security techniques
— Guidelines for information and communication technology readiness for
business continuity” tratta la business continuity, ma nel contesto dell’ICT
e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che
contiene i requisiti per la
certificazione dei sistemi di gestione della sicurezza delle informazioni.

La ISO 22301 evidenzia i componenti chiave del sistema di
gestione della continuità operativa, peraltro presenti anche in altri sistemi
di gestione. Tra essi la politica,
le persone con le loro responsabilità definite, la gestione dei processi correlati a
politica, pianificazione, attuazione e funzionamento del BCMS, valutazione
delle prestazioni, riesame di
direzione e miglioramento,
nonché le informazioni documentate in grado di fornire evidenze
verificabili anche tramite audit sul
sistema di gestione della continuità operativa.

Il vantaggio di disporre di un BCMS correttamente
funzionante è quello di far sì che l’organizzazione sia preparata – attraverso
processi, procedure, responsabilità, risorse, controlli, competenze, ecc. – a
mantenere l’operatività a seguito di un’interruzione, ovvero di un evento
destabilizzante (in inglese viene utilizzato il termine “disruption”) che
mina i processi operativi critici.

Anche questa norma recepisce il metodo del “PLAN DO CHECK ACT” già noto da altre
norme dei sistemi di gestione.

Per questa norma il concetto di “parti interessate” o stakeholders è molto importante in
quanto una discontinuità (interruzione) nell’operatività dell’organizzazione,
una indisponibilità dei servizi essenziali per i clienti, un fermo delle
attività produttive per un periodo più o meno lungo, possono causare danni, sia
dal punto di vista commerciale, sia da quello finanziario, ma anche da quello
delle altre parti interessate, quali personale interno, individui della
collettività che subiscono danni anche fisici, fornitori, ecc..

Scopo della norma per la gestione della business continuity
è quello di specificare i requisiti atti proteggere l’organizzazione da interruzioni
quando accadono, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la
probabilità che tali eventi negativi avvengano, prepararsi ad essi e rispondere
in modo adeguato a ripristinare l’operatività nel più breve tempo possibile
qualora si verifichi un evento che provoca l’interruzione dell’operatività.
Naturalmente non si può pensare che un’azienda metta in atto azioni volte a
prevenire calamità naturali o pandemie, ma – facendo un esempio estremamente
attuale – una volta che sia stata conclamata un’epidemia su larga scala,
potrebbe porre in essere misure volte a prevenire il contagio fra i dipendenti e,
quindi, volte ad evitare che si verifichi un’interruzione totale dell’operatività
aziendale causata da un contagio interno molto diffuso. Questo, naturalmente,
al di là delle decisioni e delle disposizioni governative che hanno limitato l’operatività
di molte attività, ma non di tutte. Addirittura alcune aziende dovevano porsi l’interrogativo
se chiudere anticipatamente in base alla probabilità di contagio nella propria
zona fra personale dipendente.

La norma ISO 22301 definisce alcuni termini specifici sulla
materia tra cui il termine di continuità operativa (business continuity),
piano di continuità operativa (business continuity plan), analisi di
impatto operativo (business impact
analysis o BIA).

Oltre ad altri termini consueti delle norme della serie ISO
9000, altro termine significativo mutuato dalle norme della serie ISO 27000 è
quello di incidente che è definito
come “evento che può o potrebbe condurre ad un’interruzione, a una perdita,
a un’emergenza o a una crisi” Al proposito la norma utilizza spesso il
termine interruzione che
rappresenta “un incidente che causa una deviazione negativa, non pianificata
dell’erogazione prevista dei prodotti e servizi secondo gli obiettivi di un’organizzazione”;
modificando significativamente la definizione della precedente versione della
norma, forse più concreta e facilmente comprensibile ai più.

Verranno successivamente introdotti dalla norma degli
indicatori specifici per questa tematica come:

• Maximum
  Tolerable Period of Disruption (MTPD) ovvero
  il tempo massimo accetabile che può trascorrere a fronte degli impatti
  negativi conseguenti ad una interruzione come risultato della mancata
  fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività
  operativa.
• Recovery Time Objective (RTO):
  periodo di tempo entro il quale – dopo l’interruzione – i servizi erogati,
  la produzione, i servizi di supporto e le funzionalità operative devono
  essere ripristinati ad un livello minimo accettabile.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” contiene
gli elementi per comprendere il contesto dell’organizzazione, tra cui i fattori
interni ed esterni che influenzano la sua capacità di conseguire i risultati
del BCMS. La norma stabilisce che nell’ambito del Sistema di gestione per la
continuità operativa debbano essere identificati i requisiti dell’organizzazione e delle sue parti interessate, che
dovranno essere tenuti in debito conto nella progettazione del sistema di
gestione dell’organizzazione

Tra i requisiti da prendere in considerazione viene dedicato
un punto specifico ai requisiti legali e regolamentari, ovvero quei
requisiti cogenti che determineranno gli obiettivi di minima del BCMS e dei
piani di continuità operativa. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione
di continuità operativa. A tale riguardo la norma stabilisce le modalità
attraverso le quali l’organizzazione deve stabilire i confini del BCMS e quali
processi, prodotti e servizi sono compresi nel sistema di gestione e quali
parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali
esclusioni che, comunque, non possono influenzare negativamente i risultati del
sistema di gestione ed i livelli di operatività stabiliti nell’analisi di
impatto.

Al punto 4.4 la norma stabilisce che l’organizzazione deve
implementare, mantenere attivo e migliorare continuamente un sistema di
gestione della continuità operativa, inclusi i processi necessari e le relative
interazioni fra essi, in accordo con i requisiti di questo standard
internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma
stabilisce che l’alta direzione (ovvero il top
management) deve possedere leadership e dimostrare un impegno preciso
rispetto al sistema di gestione per la continuità operativa. L’impegno del management
viene poi esplicitato attraverso una serie di responsabilità della direzione
relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi
siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi
sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai
requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della
politica per la continuità operativa
e la definizione della struttura
organizzativa dell’organizzazione, quindi la definizione di ruoli
responsabilità ed autorità.

Il capitolo 6, denominato “Pianificazione” stabilisce che:

• L’organizzazione deve attuare
  azioni rivolte ad affrontare i
  rischi ed alle opportunità, in particolare assicurando che il sistema riesca
  a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre
  gli effetti indesiderati sul BCMS e mirare al miglioramento continuo.
• Vengano definiti obiettivi per la business continuity e soluzioni/piani per raggiungerli;
  tale aspetto, con le dovute modifiche, è del tutto analogo ad altri
  sistemi di gestione: gli obiettivi devono essere misurabili, devono essere
  monitorati, occorre stabilire chi è responsabile, che cosa deve fare,
  quali risorse sono richieste, quando dovranno essere completate le azioni
  finalizzate al perseguimento degli obiettivi e come dovranno essere
  valutati i risultati. Unica differenza rispetto ad altri sistemi di
  gestione è che nella definizione degli obiettivi bisognerà tenere conto di
  un livello minimo di servizio o di prodotto fornito ritenuto accettabile
  dall’organizzazione nel raggiungimento dei suoi obiettivi.

Viene anche chiarito, in una nota, che i rischi di questa
sezione sono quelli che influenzano l’intero BCMS, non i rischi che minacciano
la continuità operativa, trattati al successivo punto 8.2.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per
alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale
relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che
esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed
i mezzi di comunicazione sono molto importanti per garantire la continuità del
servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine, l’ultima parte di questo capitolo è dedicato alle informazioni documentate, i cui
requisiti relativi riguardano le modalità di gestione di documenti, dei dati e
delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito
della business continuity, i
documenti – in particolare i piani, le procedure e le istruzioni operative –
necessarie per ripristinare nel più breve tempo possibile i servizi richiesti
durante i periodi di crisi successivi ad un’interruzione, dovrebbero essere
accessibili dai responsabili nominati, dunque occorre prevedere supporti
alternativi per i documenti che potrebbero non essere disponibili nel formato
originario, su supporto elettronico o cartaceo. Pertanto, tali documenti
dovrebbero essere resi disponibili su supporti ed ubicazioni realmente
utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma, denominato “Attività operative”, è quello che è
stato maggiormente modificato rispetto alla versione precedente della norma e rappresenta
il cuore della ISO 22301 in quanto tratta gli aspetti di pianificazione e controlli
operativi, l’analisi di impatto e la valutazione dei rischi e, infine, la strategia di business continuity e le
relative soluzioni adottate, ovvero tutto ciò che l’organizzazione intende fare
per garantire la continuità operativa, compresa la definizione dei business
continuity plan o piani di continuità operativa, la loro applicazione e
test/esercizio.

Nei suddetti paragrafi sella sezione 8 vengono specificate,
tra l’altro, le modalità di effettuazione e documentazione della analisi di impatto operativo e della valutazione del dei rischi, per la quale può essere preso come
riferimento quanto indicato nella ISO 31000 (UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre
precisare che sia l’analisi di impatto sia la valutazione dei rischi dovranno
prendere in considerazione i rischi che possono impattare la continuità
operativa, quindi i rischi che si verifichino incidenti distruttivi che portino
a situazioni di crisi o di interruzione dell’operatività e, conseguentemente, a
situazioni insostenibili per i requisiti stabiliti di continuità operativa e
per la propensione al rischio dell’organizzazione. A fronte di tali situazioni,
in base ai risultati della valutazione dei rischi, dovranno essere determinate
e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Le soluzioni per garantire la continuità operativa
devono essere finalizzate a:

• rispettare i requisiti di continuità e di
  recupero delle attività prioritarie entro le tempistiche prestabilite e
  capacità concordate;
• proteggere le attività prioritarie dell’organizzazione;
• ridurre le probabilità di un’interruzione;
• accorciare la durata di un’interruzione entro
  limiti tollerabili;
• limitare l’impatto di un’interruzione sui
  prodotti e servizi dell’organizzazione;
• provvedere alla disponibilità di risorse
  adeguate a poter affrontare le situazioni di crisi.

Le soluzioni identificate devono essere scelte in base ai
requisiti da soddisfare, i rischi ritenuti accettabili, i costi ed i benefici. Per
attuarle dovranno essere stabiliti i requisiti e le necessità di risorse umane,
tecnologiche, infrastrutturali, ecc.

Il punto 8.4 della norma fornisce indicazioni su come progettare
i piani di continuità operativa e le procedure da mettere in atto per
garantire la continuità operativa dell’organizzazione a fronte di un’interruzione.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono
qui illustrati i requisiti relativi al monitoraggio,
alle misurazioni, all’analisi ed
alla valutazione dei processi che
hanno un impatto sulla continuità operativa; in particolare vengono esplicitati
i requisiti relativi ad indicatori e
metriche finalizzate al monitoraggio
dell’efficacia del BCMS.

Nel capitolo 9 vengono anche trattati i requisiti
standard per i sistemi di gestione riguardanti gli audit interni ed il riesame di
direzione. Anche qui, rispetto alle altre normative sui sistemi di gestione,
il focus è sui rischi risultanti dall’analisi di impatto e sul risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento
continuo. Relativamente a non conformità ed azioni correttive la gestione è
analoga ai sistemi gestionali descritti nelle altre normative sui sistemi di
gestione (ISO 9001 in primis). Sono inoltre introdotte le azioni che vengono
messe in atto al fine di perseguire il miglioramento continuo del sistema e
delle sue prestazioni.

Premesso ciò, le non conformità relative al sistema di
gestione della continuità operative – normalmente incidenti ed altri eventi che hanno generato interruzioni oltre
ad altre situazioni nelle quali si verifica il non soddisfacimento dei
requisiti procedurali – dovranno essere identificate e dovranno essere attuate
prontamente correzioni per eliminare, quando possibile, gli effetti della non
conformità stessa e le relative conseguenze. Inoltre, si deve valutare la
necessità di intraprendere azioni correttive finalizzate ad eliminare le cause
della non conformità.

In conclusione, le organizzazioni che vorranno adeguarsi a tale
normativa e certificarsi secondo le proprie esigenze di business, quasi
certamente avranno già messo in atto e certificato un sistema di gestione per
la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno
anche già implementato il sistema di
gestione della sicurezza delle informazioni ISO 27001, pertanto lo sforzo
per conformarsi a questa norma sulla business
continuity non sarà eccessivo. Infatti, molti requisiti sono comuni fra la
norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di
controllo riguardante la continuità operativa che impone di predisporre uno o
più business
continuity plan per garantire la continuità nell’erogazione del
servizio o nella produzione, ma a fronte di interruzioni dovute a
indisponibilità di informazioni.

Al proposito occorre notare che la norma tratta la gestione
di tutti i tipi di discontinuità o interruzioni di servizio, non
necessariamente solo quelli legati all’indisponibilità dei sistemi informatici,
anche se quasi tutte le organizzazioni vedono come principale pericolo per la
propria continuità operativa il blocco dei sistemi informatici che ormai
governano quasi tutte le attività aziendali.

Gli esempi di situazioni nelle quali la continuità operativa
non è minacciata da interruzioni e disastri legati ai sistemi informatici sono
sotto i nostri occhi in questo periodo.

• 

• 

• 

In questo periodo molte organizzazioni, sia pubbliche che private, hanno scoperto – per necessità – il lavoro a distanza, formalmente definito “lavoro flessibile”, telelavoro o smartworking. Fermo restando che il vero smart working non consiste nel farsi mandare un documento a casa via e-mail da un collega (o da sé stesso), lavorarci su fra le mura domestiche e poi rimandarselo in ufficio, cerchiamo di capire quali sono le modalità efficaci, efficienti e “sicure” per lavorare con continuità da casa o comunque da un sito che non è l’ufficio o la sede aziendale in genere.

In questo periodo molte organizzazioni ed i loro dipendenti, collaboratori e consulenti stanno sperimentando tecnologie che sono disponibili già da alcuni anni a basso costo o addirittura gratis, ma che necessitano di acquisire competenze informatiche di base per poterle utilizzare in modo produttivo.

Partendo dagli strumenti più semplici, i colossi dell’informatica e del web – come Microsoft e Google, ma anche Apple per i suoi utenti – hanno messo a disposizione, insieme alle relative suite di produttività (es. Office 365), anche alcuni strumenti per lavorare su documenti condivisi tramite cloud (ad es. Google Drive, One Drive), per comunicare in modo organizzato sul medesimo progetto, per organizzare riunioni via web (es. Skype for Business ora migrato in Teams, Google Meet, Hangout, oppure GoToMeeting, ecc.). Tali strumenti permettono di lavorare a distanza su documenti informatici, anche contemporaneamente, di condividere lo schermo e di vedersi in modo estremamente proficuo, anche per l’ambiente. Infatti, un effetto collaterale benefico di questa emergenza coronavirus è la riduzione del traffico – e quindi dell’inquinamento – nelle strade e l’eliminazione della carta, ovvero della stampa di documenti, quando non necessaria.

Le aziende più strutturate avevano già previsto modalità di “telelavoro” nelle quali il PC utilizzato dal dipendente fuori sede poteva collegarsi direttamente ai sistemi informatici aziendali tramite VPN.

Per fare questo passo ulteriore, e collegarsi tramite internet ai sistemi aziendali, occorrono maggiori competenze del reparto sistemistico aziendale (troppo spesso ridotto all’osso o demandato all’esterno a consulenti che magari in questo momento sono molto impegnati) ed altre tecnologie.

Il mercato degli applicativi gestionali ha favorito questa trasformazione attraverso il rilascio di applicativi web che non necessitano di installazione su server in azienda o comunque che non funzionano in tecnologia client-server, ma possono essere resi accessibili via web da qualsiasi parte del mondo, dunque anche da casa propria, anche se si è in quarantena, ma si gode di ottima salute!

Chiaramente l’utilizzo di tutti questi strumenti “innovativi” non può essere realizzato da un giorno all’altro in modo efficace ed efficiente, occorrerebbe un periodo di formazione del personale e di test. Ma l’emergenza non ci concede questo tempo e – come al solito – siamo costretti ad operare in modalità diverse a fronte di un evento destabilizzante. È giocoforza ricordare che proprio in questi giorni è uscita la versione italiana della norma UNI EN ISO 22301:2019 sui sistemi di gestione della continuità operativa, ovvero sulla business continuity. Ma quante aziende avevano un piano di business continuity che considerasse lo scenario della pandemia o comunque dell’assenza forzata dal lavoro di numerose persone?

Dunque molti sono costretti a improvvisare, ma occorre pensare anche alla sicurezza delle attività lavorative a distanza, ovvero occorre ragionare in termini di “security”, mentre alla “safety” delle persone si pensa cercando di evitare il più possibile i contatti fisici.

Se con lo smartworking preveniamo i l corona-virus, siamo sicuri di prevenire anche i virus informatici, ovvero il malware che potrebbe far perdere la necessaria riservatezza, integrità e/o disponibilità ai nostri dati? Riusciamo a garantire il rispetto della normativa sulla protezione dei dati (GDPR)?

Ci viene in soccorso la UNI EN ISO 27002 (Linea Guida sui controlli di sicurezza delle informazioni), al punto 6.2.2 Telelavoro, ma non solo.  Tale norma ci insegna che:

«Dovrebbero essere attuate una politica e delle misure di sicurezza a suo supporto (del telelavoro) per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro. »

Perciò le organizzazioni che permettono attività di telelavoro o smartworking – e in questo momento sono moltissime, anche a fronte della modifica normativa – dovrebbero emettere una policy che definisca le condizioni e le limitazioni al telelavoro, ovvero stabilire delle regole generali per gestire lo smartworking in modo sicuro, nelle diverse situazioni.

Gli aspetti da considerare dovrebbero essere i seguenti:

• Il livello di sicurezza fisica del sito di telelavoro (es. l’abitazione del dipendente/collaboratore oppure il luogo pubblico dove esso può esercitare l’attività lavorativa), considerando gli edifici e l’ambiente circostante. In pratica consideriamo il fatto che se la postazione di lavoro non è all’interno della sede aziendale devono essere garantiti un accesso controllato in modo continuo delle persone estranee a documenti e dispositivi elettronici. L’abitazione ha una porta blindata e/o un sistema di allarme? La postazione di lavoro è facilmente accessibile da porte o finestre aperte?
• L’ambiente di telelavoro proposto: l’azienda può prevedere l’utilizzo di determinati tipi di locali piuttosto che altri (es. divieto di lavorare in luoghi pubblici).
• I requisiti per la sicurezza delle comunicazioni, tenendo in considerazione la necessità di accesso remoto ai sistemi interni dell’organizzazione (ad esempio l’accesso più sicuro è tramite VPN crittografata), la criticità delle informazioni che sono accedute e trasmesse attraverso il canale di comunicazione (ad es. dati personali appartenenti a categorie particolari di dati), nonché la criticità del sistema interno. Occorre cambiare il punto di vista: le comunicazioni non avvengono più all’interno dell’azienda, ma dall’interno all’esterno e viceversa e necessitano di essere protette con comunicazioni crittografate. Anche il semplice invio di e-mail dall’ufficio all’abitazione del dipendente dovrebbe comunque garantire trasmissioni sicure (es. con crittografia SSL/TLS) su un indirizzo privato approvato e l’accesso a siti sFTP dovrebbe essere preferito rispetto ai meno sicuri FTP.
• La fornitura di accesso in modalità desktop virtuale che prevenga l’elaborazione e la memorizzazione di informazioni su dispositivi privati: se il dispositivo usato dal dipendente è il proprio PC casalingo – e non un notebook fornito dall’azienda – potrebbe essere opportuno non consentire il salvataggio di dati particolarmente riservati in locale, ma solo di lavorare in desktop remoto sul PC aziendale.
• Le minacce di accesso non autorizzato alle informazioni o alle risorse da parte di altri soggetti che frequentano il luogo di lavoro flessibile, per esempio i famigliari e gli amici: evidentemente in un contesto privato possono esserci altri soggetti che non sono autorizzati ad accedere alle informazioni aziendali che potrebbero accedervi, pertanto occorre stabilire regole ferree con i dipendenti (es. divieto di divulgare password a conviventi).
• L’uso di reti casalinghe e i requisiti o le limitazioni alla configurazione dì servizi wireless di rete: soprattutto se il collegamento alla rete aziendale non avviene tramite VPN è importante garantire la sicurezza della rete cablata o Wi-Fi dell’abitazione o di altro luogo ove si è abilitati a lavorare. Quasi tutti i dispositivi sono in grado di valutare se la rete Wi-Fi a cui ci si collega dispone almeno di un livello di sicurezza WPA2. In caso negativo occorre configurare adeguatamente il router/modem casalingo, se si è in un luogo pubblico meglio astenersi dalla connessione. In certi casi è l’azienda stessa a fornire una connessione sicura tramite scheda SIM 3G/4G.
• Le politiche e le procedure per prevenire discussioni riguardo i diritti per la proprietà intellettuale sviluppatisi su dispositivi privati: è opportuno stabilire regole precise per chiarire al dipendente che eventuali progetti sviluppati in smartworking casalingo rimangono di proprietà dell’azienda.
• L’accesso a dispositivi privati (per verificare la sicurezza del sistema o durante un’indagine), che potrebbero essere proibiti dalla legge. Se il dipendente usa un proprio dispositivo privato che contiene materiale illegale o viene usato per consultare siti illegali potrebbero esserci dei problemi.
• Gli accordi di licenza del software tali per cui le organizzazioni potrebbero diventare responsabili per le licenze di software sulle workstation private di proprietà del personale o di utenti di terze parti. Chiaramente se il dipendente utilizza il proprio PC occorre che le licenze software siano conformi alla legge applicabile. Anche un Office con licenza Student o Privata non potrebbe essere usato per scopi aziendali o professionali. Eventuali indagini dell’Autorità potrebbero creare problemi al dipendente ed all’azienda.
• Le protezioni dal malware e i requisiti per l’uso di firewall in caso di utilizzo di PC privati devono essere comunque garantiti. Sarebbe bene richiedere la presenza di un anti-malware ed un firewall di livello equivalente a quello aziendale (le licenze free degli antivirus sono da evitare).

In generale dovrebbero essere stabilite regole fra azienda e dipendente che definiscano quali dispositivi utilizzare, come utilizzarli, dove poter lavorare, quali misure di sicurezza occorre mantenere sempre, come gestire i backup delle informazioni e le stampe, quali informazioni si possono elaborare, se ci sono particolari restrizioni per il trattamento di dati personali appartenenti a categorie particolari di dati (art. 9 del GDPR), la gestione delle procedure di autenticazione e la gestione delle password, le attività non consentite dai dispositivi utilizzati anche per lavoro e così via.

Anche per attività che richiedono software particolari e costosi (es. editing grafico e progettazione CAD) i produttori di software stanno venendo incontro agli utenti con licenze non legate ad un particolare dispositivo fisico, ma utilizzabili, con il supporto del cloud, su dispositivi differenti, anche se non contemporaneamente.

Purtroppo sono tutti elementi che non si possono improvvisare da un giorno all’altro, ma che sarebbe opportuno considerare e gestire anche nell’emergenza.

Infine occorre considerare un problema di capacità: se un’azienda normalmente è strutturata per uno smartworking contemporaneo del 20% dei dipendenti (ad esempio una giornata lavorativa a settimana) e in questa situazione di emergenza il lavoro a distanza sale al 90%, probabilmente le reti e le VPN dovranno essere ridimensionati per supportare tutto il traffico, nella consapevolezza che le connessioni di rete delle abitazioni dei dipendenti potrebbero non garantire prestazioni sufficienti e questo problema potrebbe essere difficile da ovviare anche con connessioni tramite chiavette con SIM 4G se l’abitazione del dipendente si trova in una zona mal servita dai provider internet.

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Le indicazioni dettagliate per le imprese che desiderano usufruire di questo finanziamento si possono trovare al sito del MISE cliccando QUI.

In pratica una Piccola o Micro Impresa può usufruire di un Voucher per consulenza negli ambiti previsti dal Decreto Ministeriale del 30 agosto 2019 per il 50% delle spese sostenute fino ad un massimo di € 80.000. Per imprese più grandi e Reti di Impresa l’agevolazione è proporzionalmente inferiore.

Un articolo che illustra in modo chiaro e preciso le modalità di erogazione del finanziamento si può trovare a questo link.

Poiché l’occasione è ghiotta per le aziende, ma anche per i consulenti (si può ottenere un contratto di consulenza fino a € 80.000 facendone pagare al cliente solo la metà), occorre fare attenzione – lato impresa che vuole innovare – alla scelta dell’Innovation Manager giusto; infatti facendo una semplice ricerca su Google si trovano diversi siti che parlano dell’argomento, alcuni dei quali che pubblicano elenchi ristretti o vetrine di Innovation Manager con lo scopo di mettere in evidenza solo i profili che si desidera o quelli che hanno pagato per comparire nella vetrina.

Bene l’unico elenco ufficiale e completo degli Innovation Manager (circa 9000) approvati dal MISE è reperibile a questo link Elenco Innovation Manager MISE.

Ogni consulente/società di consulenza è suddiviso per regione dove intende operare e per ambito di specializzazione. Dunque in base al tipo di progetto che l’impresa intende sviluppare dovrà rivolgersi ad uno degli Innovation Manager che presentano i requisiti di specializzazione adeguati.

E’ opportuno chiarire che le specializzazioni dichiarate – ed in generale tutti i requisiti dichiarati dagli Innovation Manager – non sono stati probabilmente verificati dal MISE con ulteriore documentazione oltre ai curriculum vitae presentati, sebbene tutti i candidati abbiano sottoscritto una dichiarazione ai sensi del DPR 445/2000 sulla veridicità di quanto dichiarato.

La cattiva notizia è che i tempi per le Imprese per richiedere il Voucher Innovazione sono strettissimi (scadenza 26/11/2019, salvo proroghe.

Al link seguente Scheda Innovation Manager potrete trovare la scheda del sottoscritto.

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.

Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.

Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.