L’aggiornamento della valutazione dei rischi dopo la pandemia

Tutti i moderni sistemi di gestione ci hanno insegnato che è necessario effettuare una valutazione dei rischi, con il focus su aspetti specifici del sistema di gestione di riferimento, in base al contesto interno ed esterno dell’organizzazione. E che tale valutazione va riesaminata o aggiornata con periodicità predefinita (ad es. annualmente in occasione del riesame di direzione) o allorquando mutano significativamente gli elementi che hanno contribuito alla valutazione stessa (fattori critici di successo, contesto interno ed esterno).

Ora tutte queste valutazioni vanno modificate, non perché ce lo dice la norma di riferimento (ISO 9001, ISO 27001, IATF 16949, ecc.), ma perché ce lo dice la coscienza del buon imprenditore, direttore generale, amministratore delegato, ecc.



Quante valutazioni dei rischi, anche quelle sviluppate negli ambiti più specifico come quella del BCMS della ISO 22301 sulla continuità operativa, avevano previsto il rischio pandemia come un rischio reale? Forse nessuna in questi termini. Tutti gli esperti ed i testi di risk management ci hanno sempre detto che bisogna considerare i rischi significativi considerando la loro gravità, in termini di conseguenze o impatto sul business, e la loro probabilità di verificarsi. Diverse tecniche di risk assessment prendono in considerazione questi due elementi espressi in una scala quali-quantitativa, di alto, medio o basso, di 1, 2, 3, 4 e così via. Quindi non dovevamo considerare l’asteroide che cade sulla terra, la guerra nucleare o … la pandemia mondiale. Perché, per quanto tali eventi possano essere devastanti la loro probabilità rasenta lo zero, l’altamente improbabile. I criteri di calcolo del rischio spesso riportano il livello minimo di probabilità (livello 1) come “un evento che non si è mai verificato, ma possibile”.

In realtà molte valutazioni dei rischi legate alla realizzazione di business continuity plan hanno considerato il rischio di un’epidemia di influenza che causi l’assenza prolungata di gran parte del personale dell’azienda, mettendo a repentaglio la continuità del business della stessa, ma ora la situazione è diversa: in molte realtà il personale sta benissimo, ma non può recarsi in azienda a causa delle restrizioni imposte dall’emergenza sanitaria Coronavirus.

Però in quest’articolo non voglio trattare il problema legato alla continuità operativa a fronte di un’interruzione provocata da una pandemia, voglio pensare al dopo, a quello che avverrà durante la ripresa, graduale, delle attività.

Ebbene, non tutte le imprese riescono oggi ad immaginarsi il “dopo”, però se la Direzione aziendale ha a disposizione alcune informazioni ed indicatori validi può prevedere quello che succederà, almeno in parte.

Naturalmente cambierà il mercato, il processo commerciale e di vendita di prodotti e servizi. Il contesto esterno è sensibilmente mutato e da un lato troviamo alcuni settori che non si sono mai fermati (es. alimentare) o che hanno incrementato sensibilmente le attività produttive e di erogazione di servizi (es. settore sanitario, medicale, farmaceutico, ecc.); dall’altro troviamo settori che saranno in piena crisi con riduzione sensibile del fatturato e rischio anche di chiudere le attività. Faccio ad esempio riferimento al settore turistico-alberghiero, ove alcune piccole realtà che hanno subito un fermo completo dell’attività per uno o due mesi se dovessero affrontare una stagione estiva con la clientela contingentata probabilmente non potrebbero raggiungere il punto di pareggio.

Dunque, l’imprenditore deve analizzare il proprio mercato di riferimento capire quali settori merceologici sta servendo e – nel caso di produzione di componenti o semilavorati conto terzi – quali settori merceologici sta servendo il proprio cliente. Mai come ora è importante la diversificazione della clientela e del relativo fatturato. Una concentrazione dei ricavi su pochi clienti o su un solo settore merceologico rappresenta normalmente un fattore di rischio.

Il comportamento dei clienti sarà fondamentale per capire quale ripresa ci potrà essere. Infatti, al di là del settore di appartenenza del cliente, occorre considerare quale strategia adotterà (o sta già adottando) il cliente. Purtroppo, già si percepisce che alcune aziende stanno bloccando gli ordinativi per timore di subire costi che poi ipoteticamente non potranno essere recuperati da adeguati ricavi, forse solo per paura di quello che potrà succedere in futuro. Il timore di investire sul futuro, sull’innovazione tecnologica, sull’innovazione di prodotto e servizio e sui nuovi scenari è certamente una strategia che penalizzerà diverse aziende. Potremo rivedere quello che si è già verificato nella crisi della fine degli anni ’10, ma più in grande: aziende che cercano di tagliare tutti i costi possibili e immaginabili per fronteggiare i cali momentanei di fatturato che poi vengono superate da altre aziende che hanno investito sul futuro. Il processo di riduzione indiscriminata dei costi, compresi quelli del personale, ha già prodotto nel recente passato impatti sociali importanti con diminuzione delle disponibilità economiche degli individui (soprattutto se paragonate con i cittadini di altri Paesi europei e del Nord America), diminuzione dei consumi, riduzione dei prezzi al fine di incrementare le vendite, ulteriore riduzione dei costi di produzione a scapito della qualità e così via in un ciclo tutt’altro che virtuoso.

In generale non tutte le aziende che lavorano nel settore meccanico, per realizzare prodotti su specifiche del cliente, sanno di preciso dove vanno a finire i componenti/prodotti che realizzano, ovvero qual è il prodotto finale ed a che filiera appartiene. È invece importante sapere se si sta lavorando per la filiera dell’automotive o dell’alimentare o del medicale.

Nel contesto esterno occorre esaminare anche i mutamenti che sono avvenuti e che si prospettano nel parco fornitori. Tutte le aziende hanno bisogno dei fornitori e talvolta non hanno mai cercato alternative per tutte le forniture critiche. Ora il nostro fornitore, soprattutto se si tratta di una piccola impresa, potrebbe aver difficoltà  a produrre a sua volta o addirittura potrebbe chiudere per motivi economico-finanziari o di salute della proprietà.

Dopo aver esaminato i rischi commerciali di sensibile perdita di ricavi e quelli legati all’indisponibilità delle fonti di approvvigionamento, dobbiamo esaminare il contesto interno, come si modificherà la produzione e/o l’erogazione di servizi nei prossimi mesi con eventuali limitazioni (distanziamento sociale, DPI, …). Potrebbero verificarsi impatti negativi sull’organizzazione della produzione e del personale che vi opera. Gli strumenti di pianificazione della produzione e dell’erogazione di servizi avranno nuovi input e nuovi vincoli da considerare e potrebbero dimostrarsi inadeguati a gestire la nuova realtà.

In base a quello che è stato il comportamento dell’azienda nei confronti del personale interno e delle reazioni delle risorse umane potrebbero configurarsi nuove situazioni e nuovi rischi di conflitto: personale che pretende misure di sicurezza migliori, che vorrebbe usufruire dello smart working in modo diverso, dispute con i sindacati, persone insoddisfatte della gestione di eventuali casse integrazioni, ferie imposte, ecc..

Dal punto di vista delle risorse tecniche e infrastrutturali potrebbe verificarsi la necessità di dover utilizzare in modo diverso le risorse produttive, rimandare l’acquisto di una nuova macchina o ripensare all’impiego di macchine differenti per affrontare le nuove esigenze produttive.

Sul fronte delle risorse tecnologiche può darsi che l’infrastruttura ICT si sia dimostrata inadeguata ad operare da remoto e, anche se è passata l’emergenza, le previsioni non escludono il verificarsi di una nuova pandemia di Coronavirus fintantoché non verrà diffuso un vaccino. Allora bisogna attivare l’accesso da remoto agli applicativi aziendali in modo sistematico, lo smartworking potrebbe diventare una modalità di lavoro standard, anche se non per tutte le giornate lavorative, per diversi dipendenti. I gestionali un po’ vecchiotti che non forniscono funzionalità web potrebbero essere sostituiti, il personale che ha evidenziato scarsa dimestichezza con i nuovi strumenti tecnologici per il lavoro a distanza potrebbe necessitare di formazione. La gestione della sicurezza informatica potrebbe essere ripensata nel nuovo contesto.

Nuovi rischi emergono, con probabilità di accadimento e gravità delle conseguenze differenti rispetto a qualche mese fa; dunque alcuni rischi che prima non necessitavano di trattamento dovranno essere affrontati con azioni opportune.

D’altro canto, potrebbero emergere nuove opportunità da considerare e valutare: indebolimento della concorrenza su certi mercati (il competitor potrebbe essere stato penalizzato su altri mercati e settori ed essere in difficoltà), possibilità di entrare in settori con buone prospettive future (ad es. medicale), e così via.




La nuova edizione della norma ISO 22301:2019 per la certificazione della business continuity

Soprattutto in questo periodo è estremamente attuale essere
in grado di pianificare la continuità operativa delle imprese, almeno per
quanto possibile.

Anche le aziende più preparate a gestire la business
continuity
, forse, non hanno previsto una pandemia come quella del Covid-19,
o forse si erano prefigurati scenari diversi, nei quali le persone non sono in
grado di andare al lavoro a causa di epidemie di influenza o altre cause. In
questa fase che stiamo attraversando l’assenza di personale non è dovuta –
nella maggior parte dei casi – allo stato di malattia delle persone, ma alla
necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per
certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone
sono quasi tutte operative ed in grado di lavorare
, ma non possono accedere
ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata,
affrontare situazioni di emergenza come questa che stiamo attraversando? O
meglio, come potrà pensare di affrontarle in futuro se si verificheranno?



Ci viene in soccorso lo standard UNI EN ISO 22301 (Sicurezza e resilienza – Sistemi di gestione
per la continuità operativa – Requisiti
titolo originale “Security
and resilience – Business continuity management systems – Requirements”
),
recentemente revisionato (edizione 2019) e tradotto in italiano dall’UNI e
pubblicati a febbraio 2020.

Come già visto in un precedente articolo sulla vecchia versione della norma (pubblicata dall’ISO nel 2012) , lo standard specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Le modifiche alla norma non hanno aggiunto nuovi
requisiti
, ma solamente chiarito quelli già presenti, allineato la
norma alle altre norme sui sistemi di gestione e riorganizzato il capitolo 8,
vero cuore dello standard.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS)
enfatizza l’importanza di:

  • comprendere le esigenze dell’organizzazione e le necessità per
    stabilire la politica e gli obiettivi per la continuità operativa;
  • gestire e mantenere processi, capacità e
    strutture di risposta per garantire che l’organizzazione sopravviva a
    interruzioni;

  • implementare e rendere operativi controlli e misure per gestire la
    capacità di un’intera organizzazione nella gestione delle interruzioni (discontinuità)
    dell’operatività dovute a cause accidentali;
  • monitorare e riesaminare le
    prestazioni e l’efficacia del sistema di gestione della continuità
    operativa;
  • migliorare in modo continuo
    il BCMS basato su metriche qualitative e quantitative (obiettivi misurabili).

Si ricorda che anche la norma ISO/IEC 27031 “Information technology — Security techniques
— Guidelines for information and communication technology readiness for
business continuity
” tratta la business continuity, ma nel contesto dell’ICT
e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che
contiene i requisiti per la
certificazione dei sistemi di gestione della sicurezza delle informazioni
.

La ISO 22301 evidenzia i componenti chiave del sistema di
gestione della continuità operativa, peraltro presenti anche in altri sistemi
di gestione. Tra essi la politica,
le persone con le loro responsabilità definite, la gestione dei processi correlati a
politica, pianificazione, attuazione e funzionamento del BCMS, valutazione
delle prestazioni
, riesame di
direzione
e miglioramento,
nonché le informazioni documentate in grado di fornire evidenze
verificabili anche tramite audit sul
sistema di gestione della continuità operativa.

Il vantaggio di disporre di un BCMS correttamente
funzionante è quello di far sì che l’organizzazione sia preparata – attraverso
processi, procedure, responsabilità, risorse, controlli, competenze, ecc. – a
mantenere l’operatività a seguito di un’interruzione, ovvero di un evento
destabilizzante (in inglese viene utilizzato il termine “disruption”) che
mina i processi operativi critici.

Anche questa norma recepisce il metodo del “PLAN DO CHECK ACT” già noto da altre
norme dei sistemi di gestione.

Per questa norma il concetto di “parti interessate” o stakeholders è molto importante in
quanto una discontinuità (interruzione) nell’operatività dell’organizzazione,
una indisponibilità dei servizi essenziali per i clienti, un fermo delle
attività produttive per un periodo più o meno lungo, possono causare danni, sia
dal punto di vista commerciale, sia da quello finanziario, ma anche da quello
delle altre parti interessate, quali personale interno, individui della
collettività che subiscono danni anche fisici, fornitori, ecc..

Scopo della norma per la gestione della business continuity
è quello di specificare i requisiti atti proteggere l’organizzazione da interruzioni
quando accadono, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la
probabilità che tali eventi negativi avvengano
, prepararsi ad essi e rispondere
in modo adeguato a ripristinare l’operatività nel più breve tempo possibile
qualora si verifichi un evento che provoca l’interruzione dell’operatività.
Naturalmente non si può pensare che un’azienda metta in atto azioni volte a
prevenire calamità naturali o pandemie, ma – facendo un esempio estremamente
attuale – una volta che sia stata conclamata un’epidemia su larga scala,
potrebbe porre in essere misure volte a prevenire il contagio fra i dipendenti e,
quindi, volte ad evitare che si verifichi un’interruzione totale dell’operatività
aziendale causata da un contagio interno molto diffuso. Questo, naturalmente,
al di là delle decisioni e delle disposizioni governative che hanno limitato l’operatività
di molte attività, ma non di tutte. Addirittura alcune aziende dovevano porsi l’interrogativo
se chiudere anticipatamente in base alla probabilità di contagio nella propria
zona fra personale dipendente.

La norma ISO 22301 definisce alcuni termini specifici sulla
materia tra cui il termine di continuità operativa (business continuity),
piano di continuità operativa (business continuity plan), analisi di
impatto operativo
(business impact
analysis
o BIA).

Oltre ad altri termini consueti delle norme della serie ISO
9000, altro termine significativo mutuato dalle norme della serie ISO 27000 è
quello di incidente che è definito
come “evento che può o potrebbe condurre ad un’interruzione, a una perdita,
a un’emergenza o a una crisi
” Al proposito la norma utilizza spesso il
termine interruzione che
rappresenta “un incidente che causa una deviazione negativa, non pianificata
dell’erogazione prevista dei prodotti e servizi secondo gli obiettivi di un’organizzazione
”;
modificando significativamente la definizione della precedente versione della
norma, forse più concreta e facilmente comprensibile ai più.

Verranno successivamente introdotti dalla norma degli
indicatori specifici per questa tematica come:

  • Maximum
    Tolerable Period of Disruption
    (MTPD) ovvero
    il tempo massimo accetabile che può trascorrere a fronte degli impatti
    negativi conseguenti ad una interruzione come risultato della mancata
    fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività
    operativa.
  • Recovery Time Objective (RTO):
    periodo di tempo entro il quale – dopo l’interruzione – i servizi erogati,
    la produzione, i servizi di supporto e le funzionalità operative devono
    essere ripristinati ad un livello minimo accettabile.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” contiene
gli elementi per comprendere il contesto dell’organizzazione, tra cui i fattori
interni ed esterni che influenzano la sua capacità di conseguire i risultati
del BCMS. La norma stabilisce che nell’ambito del Sistema di gestione per la
continuità operativa debbano essere identificati i requisiti dell’organizzazione e delle sue parti interessate, che
dovranno essere tenuti in debito conto nella progettazione del sistema di
gestione dell’organizzazione

Tra i requisiti da prendere in considerazione viene dedicato
un punto specifico ai requisiti legali e regolamentari, ovvero quei
requisiti cogenti che determineranno gli obiettivi di minima del BCMS e dei
piani di continuità operativa. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione
di continuità operativa
. A tale riguardo la norma stabilisce le modalità
attraverso le quali l’organizzazione deve stabilire i confini del BCMS e quali
processi, prodotti e servizi sono compresi nel sistema di gestione e quali
parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali
esclusioni che, comunque, non possono influenzare negativamente i risultati del
sistema di gestione ed i livelli di operatività stabiliti nell’analisi di
impatto.

Al punto 4.4 la norma stabilisce che l’organizzazione deve
implementare, mantenere attivo e migliorare continuamente un sistema di
gestione della continuità operativa, inclusi i processi necessari e le relative
interazioni fra essi, in accordo con i requisiti di questo standard
internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma
stabilisce che l’alta direzione (ovvero il top
management
) deve possedere leadership e dimostrare un impegno preciso
rispetto al sistema di gestione per la continuità operativa. L’impegno del management
viene poi esplicitato attraverso una serie di responsabilità della direzione
relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi
siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi
sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai
requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della
politica per la continuità operativa
e la definizione della struttura
organizzativa dell’organizzazione
, quindi la definizione di ruoli
responsabilità ed autorità.

Il capitolo 6, denominato “Pianificazione” stabilisce che:

  • L’organizzazione deve attuare
    azioni rivolte ad affrontare i
    rischi ed alle opportunità
    , in particolare assicurando che il sistema riesca
    a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre
    gli effetti indesiderati sul BCMS e mirare al miglioramento continuo.
  • Vengano definiti obiettivi per la business continuity e soluzioni/piani per raggiungerli;
    tale aspetto, con le dovute modifiche, è del tutto analogo ad altri
    sistemi di gestione: gli obiettivi devono essere misurabili, devono essere
    monitorati, occorre stabilire chi è responsabile, che cosa deve fare,
    quali risorse sono richieste, quando dovranno essere completate le azioni
    finalizzate al perseguimento degli obiettivi e come dovranno essere
    valutati i risultati. Unica differenza rispetto ad altri sistemi di
    gestione è che nella definizione degli obiettivi bisognerà tenere conto di
    un livello minimo di servizio o di prodotto fornito ritenuto accettabile
    dall’organizzazione nel raggiungimento dei suoi obiettivi.

Viene anche chiarito, in una nota, che i rischi di questa
sezione sono quelli che influenzano l’intero BCMS, non i rischi che minacciano
la continuità operativa, trattati al successivo punto 8.2.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per
alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale
relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che
esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed
i mezzi di comunicazione sono molto importanti per garantire la continuità del
servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine, l’ultima parte di questo capitolo è dedicato alle informazioni documentate, i cui
requisiti relativi riguardano le modalità di gestione di documenti, dei dati e
delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito
della business continuity, i
documenti – in particolare i piani, le procedure e le istruzioni operative –
necessarie per ripristinare nel più breve tempo possibile i servizi richiesti
durante i periodi di crisi successivi ad un’interruzione, dovrebbero essere
accessibili dai responsabili nominati, dunque occorre prevedere supporti
alternativi per i documenti che potrebbero non essere disponibili nel formato
originario, su supporto elettronico o cartaceo. Pertanto, tali documenti
dovrebbero essere resi disponibili su supporti ed ubicazioni realmente
utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma, denominato “Attività operative”, è quello che è
stato maggiormente modificato rispetto alla versione precedente della norma e rappresenta
il cuore della ISO 22301 in quanto tratta gli aspetti di pianificazione e controlli
operativi, l’analisi di impatto e la valutazione dei rischi e, infine, la strategia di business continuity e le
relative soluzioni adottate, ovvero tutto ciò che l’organizzazione intende fare
per garantire la continuità operativa, compresa la definizione dei business
continuity plan
o piani di continuità operativa, la loro applicazione e
test/esercizio.

Nei suddetti paragrafi sella sezione 8 vengono specificate,
tra l’altro, le modalità di effettuazione e documentazione della analisi di impatto operativo e della valutazione del dei rischi, per la quale può essere preso come
riferimento quanto indicato nella ISO 31000 (UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre
precisare che sia l’analisi di impatto sia la valutazione dei rischi dovranno
prendere in considerazione i rischi che possono impattare la continuità
operativa, quindi i rischi che si verifichino incidenti distruttivi che portino
a situazioni di crisi o di interruzione dell’operatività e, conseguentemente, a
situazioni insostenibili per i requisiti stabiliti di continuità operativa e
per la propensione al rischio dell’organizzazione. A fronte di tali situazioni,
in base ai risultati della valutazione dei rischi, dovranno essere determinate
e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Le soluzioni per garantire la continuità operativa
devono essere finalizzate a:

  • rispettare i requisiti di continuità e di
    recupero delle attività prioritarie entro le tempistiche prestabilite e
    capacità concordate;
  • proteggere le attività prioritarie dell’organizzazione;
  • ridurre le probabilità di un’interruzione;
  • accorciare la durata di un’interruzione entro
    limiti tollerabili;
  • limitare l’impatto di un’interruzione sui
    prodotti e servizi dell’organizzazione;
  • provvedere alla disponibilità di risorse
    adeguate a poter affrontare le situazioni di crisi.

Le soluzioni identificate devono essere scelte in base ai
requisiti da soddisfare, i rischi ritenuti accettabili, i costi ed i benefici. Per
attuarle dovranno essere stabiliti i requisiti e le necessità di risorse umane,
tecnologiche, infrastrutturali, ecc.

Il punto 8.4 della norma fornisce indicazioni su come progettare
i piani di continuità operativa e le procedure da mettere in atto per
garantire la continuità operativa dell’organizzazione a fronte di un’interruzione.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono
qui illustrati i requisiti relativi al monitoraggio,
alle misurazioni, all’analisi ed
alla valutazione dei processi che
hanno un impatto sulla continuità operativa; in particolare vengono esplicitati
i requisiti relativi ad indicatori e
metriche finalizzate al monitoraggio
dell’efficacia del BCMS.

Nel capitolo 9 vengono anche trattati i requisiti
standard per i sistemi di gestione riguardanti gli audit interni ed il riesame di
direzione
. Anche qui, rispetto alle altre normative sui sistemi di gestione,
il focus è sui rischi risultanti dall’analisi di impatto e sul risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento
continuo
. Relativamente a non conformità ed azioni correttive la gestione è
analoga ai sistemi gestionali descritti nelle altre normative sui sistemi di
gestione (ISO 9001 in primis). Sono inoltre introdotte le azioni che vengono
messe in atto al fine di perseguire il miglioramento continuo del sistema e
delle sue prestazioni.

Premesso ciò, le non conformità relative al sistema di
gestione della continuità operative – normalmente incidenti ed altri eventi che hanno generato interruzioni oltre
ad altre situazioni nelle quali si verifica il non soddisfacimento dei
requisiti procedurali – dovranno essere identificate e dovranno essere attuate
prontamente correzioni per eliminare, quando possibile, gli effetti della non
conformità stessa e le relative conseguenze. Inoltre, si deve valutare la
necessità di intraprendere azioni correttive finalizzate ad eliminare le cause
della non conformità.

In conclusione, le organizzazioni che vorranno adeguarsi a tale
normativa e certificarsi secondo le proprie esigenze di business, quasi
certamente avranno già messo in atto e certificato un sistema di gestione per
la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno
anche già implementato il sistema di
gestione della sicurezza delle informazioni ISO 27001
, pertanto lo sforzo
per conformarsi a questa norma sulla business
continuity
non sarà eccessivo. Infatti, molti requisiti sono comuni fra la
norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di
controllo riguardante la continuità operativa che impone di predisporre uno o
più business
continuity plan
per garantire la continuità nell’erogazione del
servizio o nella produzione, ma a fronte di interruzioni dovute a
indisponibilità di informazioni.

Al proposito occorre notare che la norma tratta la gestione
di tutti i tipi di discontinuità o interruzioni di servizio, non
necessariamente solo quelli legati all’indisponibilità dei sistemi informatici,
anche se quasi tutte le organizzazioni vedono come principale pericolo per la
propria continuità operativa il blocco dei sistemi informatici che ormai
governano quasi tutte le attività aziendali.

Gli esempi di situazioni nelle quali la continuità operativa
non è minacciata da interruzioni e disastri legati ai sistemi informatici sono
sotto i nostri occhi in questo periodo.




Lo smartworking sicuro al tempo del Coronavirus

In questo periodo molte organizzazioni, sia pubbliche che private, hanno scoperto – per necessità – il lavoro a distanza, formalmente definito “lavoro flessibile”, telelavoro o smartworking. Fermo restando che il vero smart working non consiste nel farsi mandare un documento a casa via e-mail da un collega (o da sé stesso), lavorarci su fra le mura domestiche e poi rimandarselo in ufficio, cerchiamo di capire quali sono le modalità efficaci, efficienti e “sicure” per lavorare con continuità da casa o comunque da un sito che non è l’ufficio o la sede aziendale in genere.



In questo periodo molte organizzazioni ed i loro dipendenti, collaboratori e consulenti stanno sperimentando tecnologie che sono disponibili già da alcuni anni a basso costo o addirittura gratis, ma che necessitano di acquisire competenze informatiche di base per poterle utilizzare in modo produttivo.

Partendo dagli strumenti più semplici, i colossi dell’informatica e del web – come Microsoft e Google, ma anche Apple per i suoi utenti – hanno messo a disposizione, insieme alle relative suite di produttività (es. Office 365), anche alcuni strumenti per lavorare su documenti condivisi tramite cloud (ad es. Google Drive, One Drive), per comunicare in modo organizzato sul medesimo progetto, per organizzare riunioni via web (es. Skype for Business ora migrato in Teams, Google Meet, Hangout, oppure GoToMeeting, ecc.). Tali strumenti permettono di lavorare a distanza su documenti informatici, anche contemporaneamente, di condividere lo schermo e di vedersi in modo estremamente proficuo, anche per l’ambiente. Infatti, un effetto collaterale benefico di questa emergenza coronavirus è la riduzione del traffico – e quindi dell’inquinamento – nelle strade e l’eliminazione della carta, ovvero della stampa di documenti, quando non necessaria.

Le aziende più strutturate avevano già previsto modalità di “telelavoro” nelle quali il PC utilizzato dal dipendente fuori sede poteva collegarsi direttamente ai sistemi informatici aziendali tramite VPN.

Per fare questo passo ulteriore, e collegarsi tramite internet ai sistemi aziendali, occorrono maggiori competenze del reparto sistemistico aziendale (troppo spesso ridotto all’osso o demandato all’esterno a consulenti che magari in questo momento sono molto impegnati) ed altre tecnologie.

Il mercato degli applicativi gestionali ha favorito questa trasformazione attraverso il rilascio di applicativi web che non necessitano di installazione su server in azienda o comunque che non funzionano in tecnologia client-server, ma possono essere resi accessibili via web da qualsiasi parte del mondo, dunque anche da casa propria, anche se si è in quarantena, ma si gode di ottima salute!

Chiaramente l’utilizzo di tutti questi strumenti “innovativi” non può essere realizzato da un giorno all’altro in modo efficace ed efficiente, occorrerebbe un periodo di formazione del personale e di test. Ma l’emergenza non ci concede questo tempo e – come al solito – siamo costretti ad operare in modalità diverse a fronte di un evento destabilizzante. È giocoforza ricordare che proprio in questi giorni è uscita la versione italiana della norma UNI EN ISO 22301:2019 sui sistemi di gestione della continuità operativa, ovvero sulla business continuity. Ma quante aziende avevano un piano di business continuity che considerasse lo scenario della pandemia o comunque dell’assenza forzata dal lavoro di numerose persone?

Dunque molti sono costretti a improvvisare, ma occorre pensare anche alla sicurezza delle attività lavorative a distanza, ovvero occorre ragionare in termini di “security”, mentre alla “safety” delle persone si pensa cercando di evitare il più possibile i contatti fisici.

Se con lo smartworking preveniamo i l corona-virus, siamo sicuri di prevenire anche i virus informatici, ovvero il malware che potrebbe far perdere la necessaria riservatezza, integrità e/o disponibilità ai nostri dati? Riusciamo a garantire il rispetto della normativa sulla protezione dei dati (GDPR)?

Ci viene in soccorso la UNI EN ISO 27002 (Linea Guida sui controlli di sicurezza delle informazioni), al punto 6.2.2 Telelavoro, ma non solo.  Tale norma ci insegna che:

«Dovrebbero essere attuate una politica e delle misure di sicurezza a suo supporto (del telelavoro) per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro. »

Perciò le organizzazioni che permettono attività di telelavoro o smartworking – e in questo momento sono moltissime, anche a fronte della modifica normativa – dovrebbero emettere una policy che definisca le condizioni e le limitazioni al telelavoro, ovvero stabilire delle regole generali per gestire lo smartworking in modo sicuro, nelle diverse situazioni.

Gli aspetti da considerare dovrebbero essere i seguenti:

  • Il livello di sicurezza fisica del sito di telelavoro (es. l’abitazione del dipendente/collaboratore oppure il luogo pubblico dove esso può esercitare l’attività lavorativa), considerando gli edifici e l’ambiente circostante. In pratica consideriamo il fatto che se la postazione di lavoro non è all’interno della sede aziendale devono essere garantiti un accesso controllato in modo continuo delle persone estranee a documenti e dispositivi elettronici. L’abitazione ha una porta blindata e/o un sistema di allarme? La postazione di lavoro è facilmente accessibile da porte o finestre aperte?
  • L’ambiente di telelavoro proposto: l’azienda può prevedere l’utilizzo di determinati tipi di locali piuttosto che altri (es. divieto di lavorare in luoghi pubblici).
  • I requisiti per la sicurezza delle comunicazioni, tenendo in considerazione la necessità di accesso remoto ai sistemi interni dell’organizzazione (ad esempio l’accesso più sicuro è tramite VPN crittografata), la criticità delle informazioni che sono accedute e trasmesse attraverso il canale di comunicazione (ad es. dati personali appartenenti a categorie particolari di dati), nonché la criticità del sistema interno. Occorre cambiare il punto di vista: le comunicazioni non avvengono più all’interno dell’azienda, ma dall’interno all’esterno e viceversa e necessitano di essere protette con comunicazioni crittografate. Anche il semplice invio di e-mail dall’ufficio all’abitazione del dipendente dovrebbe comunque garantire trasmissioni sicure (es. con crittografia SSL/TLS) su un indirizzo privato approvato e l’accesso a siti sFTP dovrebbe essere preferito rispetto ai meno sicuri FTP.
  • La fornitura di accesso in modalità desktop virtuale che prevenga l’elaborazione e la memorizzazione di informazioni su dispositivi privati: se il dispositivo usato dal dipendente è il proprio PC casalingo – e non un notebook fornito dall’azienda – potrebbe essere opportuno non consentire il salvataggio di dati particolarmente riservati in locale, ma solo di lavorare in desktop remoto sul PC aziendale.
  • Le minacce di accesso non autorizzato alle informazioni o alle risorse da parte di altri soggetti che frequentano il luogo di lavoro flessibile, per esempio i famigliari e gli amici: evidentemente in un contesto privato possono esserci altri soggetti che non sono autorizzati ad accedere alle informazioni aziendali che potrebbero accedervi, pertanto occorre stabilire regole ferree con i dipendenti (es. divieto di divulgare password a conviventi).
  • L’uso di reti casalinghe e i requisiti o le limitazioni alla configurazione dì servizi wireless di rete: soprattutto se il collegamento alla rete aziendale non avviene tramite VPN è importante garantire la sicurezza della rete cablata o Wi-Fi dell’abitazione o di altro luogo ove si è abilitati a lavorare. Quasi tutti i dispositivi sono in grado di valutare se la rete Wi-Fi a cui ci si collega dispone almeno di un livello di sicurezza WPA2. In caso negativo occorre configurare adeguatamente il router/modem casalingo, se si è in un luogo pubblico meglio astenersi dalla connessione. In certi casi è l’azienda stessa a fornire una connessione sicura tramite scheda SIM 3G/4G.
  • Le politiche e le procedure per prevenire discussioni riguardo i diritti per la proprietà intellettuale sviluppatisi su dispositivi privati: è opportuno stabilire regole precise per chiarire al dipendente che eventuali progetti sviluppati in smartworking casalingo rimangono di proprietà dell’azienda.
  • L’accesso a dispositivi privati (per verificare la sicurezza del sistema o durante un’indagine), che potrebbero essere proibiti dalla legge. Se il dipendente usa un proprio dispositivo privato che contiene materiale illegale o viene usato per consultare siti illegali potrebbero esserci dei problemi.
  • Gli accordi di licenza del software tali per cui le organizzazioni potrebbero diventare responsabili per le licenze di software sulle workstation private di proprietà del personale o di utenti di terze parti. Chiaramente se il dipendente utilizza il proprio PC occorre che le licenze software siano conformi alla legge applicabile. Anche un Office con licenza Student o Privata non potrebbe essere usato per scopi aziendali o professionali. Eventuali indagini dell’Autorità potrebbero creare problemi al dipendente ed all’azienda.
  • Le protezioni dal malware e i requisiti per l’uso di firewall in caso di utilizzo di PC privati devono essere comunque garantiti. Sarebbe bene richiedere la presenza di un anti-malware ed un firewall di livello equivalente a quello aziendale (le licenze free degli antivirus sono da evitare).

In generale dovrebbero essere stabilite regole fra azienda e dipendente che definiscano quali dispositivi utilizzare, come utilizzarli, dove poter lavorare, quali misure di sicurezza occorre mantenere sempre, come gestire i backup delle informazioni e le stampe, quali informazioni si possono elaborare, se ci sono particolari restrizioni per il trattamento di dati personali appartenenti a categorie particolari di dati (art. 9 del GDPR), la gestione delle procedure di autenticazione e la gestione delle password, le attività non consentite dai dispositivi utilizzati anche per lavoro e così via.

Anche per attività che richiedono software particolari e costosi (es. editing grafico e progettazione CAD) i produttori di software stanno venendo incontro agli utenti con licenze non legate ad un particolare dispositivo fisico, ma utilizzabili, con il supporto del cloud, su dispositivi differenti, anche se non contemporaneamente.

Purtroppo sono tutti elementi che non si possono improvvisare da un giorno all’altro, ma che sarebbe opportuno considerare e gestire anche nell’emergenza.

Infine occorre considerare un problema di capacità: se un’azienda normalmente è strutturata per uno smartworking contemporaneo del 20% dei dipendenti (ad esempio una giornata lavorativa a settimana) e in questa situazione di emergenza il lavoro a distanza sale al 90%, probabilmente le reti e le VPN dovranno essere ridimensionati per supportare tutto il traffico, nella consapevolezza che le connessioni di rete delle abitazioni dei dipendenti potrebbero non garantire prestazioni sufficienti e questo problema potrebbe essere difficile da ovviare anche con connessioni tramite chiavette con SIM 4G se l’abitazione del dipendente si trova in una zona mal servita dai provider internet.




Pubblicato l’Elenco degli Innovation Manager

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Le indicazioni dettagliate per le imprese che desiderano usufruire di questo finanziamento si possono trovare al sito del MISE cliccando QUI.

In pratica una Piccola o Micro Impresa può usufruire di un Voucher per consulenza negli ambiti previsti dal Decreto Ministeriale del 30 agosto 2019 per il 50% delle spese sostenute fino ad un massimo di € 80.000. Per imprese più grandi e Reti di Impresa l’agevolazione è proporzionalmente inferiore.

Un articolo che illustra in modo chiaro e preciso le modalità di erogazione del finanziamento si può trovare a questo link.

Poiché l’occasione è ghiotta per le aziende, ma anche per i consulenti (si può ottenere un contratto di consulenza fino a € 80.000 facendone pagare al cliente solo la metà), occorre fare attenzione – lato impresa che vuole innovare – alla scelta dell’Innovation Manager giusto; infatti facendo una semplice ricerca su Google si trovano diversi siti che parlano dell’argomento, alcuni dei quali che pubblicano elenchi ristretti o vetrine di Innovation Manager con lo scopo di mettere in evidenza solo i profili che si desidera o quelli che hanno pagato per comparire nella vetrina.

Bene l’unico elenco ufficiale e completo degli Innovation Manager (circa 9000) approvati dal MISE è reperibile a questo link Elenco Innovation Manager MISE.

Ogni consulente/società di consulenza è suddiviso per regione dove intende operare e per ambito di specializzazione. Dunque in base al tipo di progetto che l’impresa intende sviluppare dovrà rivolgersi ad uno degli Innovation Manager che presentano i requisiti di specializzazione adeguati.

E’ opportuno chiarire che le specializzazioni dichiarate – ed in generale tutti i requisiti dichiarati dagli Innovation Manager – non sono stati probabilmente verificati dal MISE con ulteriore documentazione oltre ai curriculum vitae presentati, sebbene tutti i candidati abbiano sottoscritto una dichiarazione ai sensi del DPR 445/2000 sulla veridicità di quanto dichiarato.

La cattiva notizia è che i tempi per le Imprese per richiedere il Voucher Innovazione sono strettissimi (scadenza 26/11/2019, salvo proroghe.

Al link seguente Scheda Innovation Manager potrete trovare la scheda del sottoscritto.




Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.



Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.




Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.



Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.




Come sta la privacy ad un anno dall’attuazione del GDPR?

privacyIl Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese.

Attualmente esistono alcuni documenti ufficiali che permettono di comprendere meglio come declinare i requisiti del GDPR nella propria organizzazione, tra i quali:

Al momento, però, le indicazioni fornite non sono in grado di fugare tutti i dubbi sull’applicazione del GDPR, anzi!

Il GDPR dà spazio a integrazioni dei requisiti in esso riportati per regolamentare situazioni specifiche per tipo di dati trattati e particolari legislazioni nazionali, sarà compito del Garante Italiano definire eventuali disposizioni integrative che avranno valore di Legge.

Esaminando i concetti principali del GDPR, quali responsabilizzazione (accountability) del titolare e del responsabile del trattamento, privacy by design, privacy by default, valutazione di impatto, valutazione dei rischi e “misure di sicurezza adeguate”, è facile individuare molti punti di debolezza di numerose organizzazioni italiane che, per mentalità, non sono abituate ad affrontare il problema della protezione dei dati personali con metodo e come una reale priorità. Per molti vertici aziendali la privacy è “solo una scocciatura” e il nuovo Regolamento un “ennesimo obbligo cui toccherà adeguarsi”, ma non tanto prima della scadenza. Come se bastasse fare quattro documenti per risolvere il problema per sempre (o per lo meno fino al prossimo cambiamento normativo)!.

Purtroppo questo “approccio” per essere conformi al GDPR deve cambiare, perché è una norma di stampo anglosassone (tipo “common law”, a dispetto della Brexit) che richiede una forte responsabilizzazione di coloro che ricopriranno il ruolo di titolari (rappresentanti legali per le società) e responsabili del trattamento.

L’affidamento all’esterno di dati personali, anche solo per adempimenti legislativi, come la preparazione delle buste paga demandate allo Studio di Consulenza del Lavoro, devono richiedere un’attenta analisi del contratto con il soggetto esterno e verifica che esso soddisfi tutti i requisiti in termini di misure di sicurezza per la protezione dei dati.

Certamente per le PMI che trattano solo dati personali di dipendenti e collaboratori, oltre a nominativi di referenti di clienti e fornitori, l’adeguamento al GDP non sarà di particolare impatto, ma basta demandare all’esterno ad un servizio via web come la gestione del personale oppure avere un sito internet di e-commerce che raccoglie dati di utenti per rendere la gestione un pochino più complessa.

Viceversa le organizzazioni che trattano dati particolari (i.e. sensibili), soprattutto se poco strutturate e se gestiscono tali dati insieme a fornitori di servizi mediante internet, dovranno cambiare il loro atteggiamento sulla privacy e valutare attentamente i rischi che corrono. Soprattutto non credano che basti far scrivere un DPS o “riesumare” quello precedentemente redatto prima che il Governo lo abolisse: la carta (o i documenti digitali) non bastano, occorre la consapevolezza e la sostanza di applicazione di regole comportamentali, misure di sicurezza fisica e logica (sistemi informatici) ritenute adeguate (da chi?) e instaurare con fornitori e partner rapporti contrattuali che prendano in considerazione anche il trattamento dei dati personali e la loro tutela.

Recenti eventi come i ransomware del tipo Wannacry potrebbero far piangere veramente i titolari di trattamenti di dati sanitari, il cui valore per gli hacker potrebbe essere ben superiore dei 300 dollari in Bitcoin. Il ricatto potrebbe essere non del tipo “se rivuoi i tuoi dati paga”, ma “se non vuoi che divulghi su internet i tuoi dati paga il riscatto”!. Ci sono stati già casi analoghi legati a ricatti a proprietari di diritti di serie TV americane molto più innocui.

Relativamente al ruolo del DPO, l’obbligo di nomina imposto dal Regolamento ricade in modo certo solo su Enti Pubblici, mentre le Organizzazioni che controllano in modo regolare e sistematico dati personali di interessati su larga scala e quelle che trattano dati particolari (traducibili con i dati sensibili del vecchio Codice Privacy, D.Lgs 196/2003) su larga scala o trattano dati relativi a condanne penali e reati non sono facilmente determinabili. Cosa significa “su larga scala”? Le indicazioni fornite hanno permesso di stabilire che un medico di base della Sanità Italiana non tratta dati sanitari su larga scala, ma come considerare strutture superiori come Farmacie, Ambulatori medici Privati, Cliniche Private? Gli Studi Legali devono nominare un DPO?

Sicuramente le competenze del DPO dovrebbero comprendere competenze legali (conoscenza di normative e leggi applicabili alla materia ed ai dati trattati dall’organizzazione titolare del trattamento), competenze informatiche (non necessariamente particolarmente approfondite, per esse può rivolgersi a tecnici specializzati come sistemisti ed esperti di sicurezza informatica) e gestionali-organizzative.

Relativamente alle forme di certificazione sulla privacy che, beninteso, non esimono i titolari ed i responsabili del trattamento da essere passibili delle sanzioni previste dal Regolamento e dal Garante Privacy Italiano in caso di infrazioni, occorre distinguere fra diversi tipi di certificazione:

  • Certificazione di prodotto o servizio, accreditata secondo ISO 17065, come ad es. lo schema ISDP 10003:2015 – Criteri e regole di controllo per la Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. EU 679/2016.
  • Certificazione delle figure Professionali della Data Protection (DPO, “Auditor Privacy”, “Privacy Officer” e “Consulente Privacy”).
  • Certificazione delle Aziende del Data Protection Management System in conformità al Codice di Condotta DPMS 44001:2016© ed al Reg. (UE) 679/2016.
  • Certificazione del sistema di gestione della sicurezza delle informazioni secondo la ISO 27001:2013.

Premesso che la certificazione accreditata secondo il Regolamento UE 679/2016, così come esposta dall’articolo 43 dello stesso RGPD, trova attualmente riscontri solo in standard e certificazioni afferenti allo schema di accreditamento ISO 17065 (certificazioni di prodotto o servizio), emergono le seguenti considerazioni:

  • Non si è ancora affermato un sistema di gestione della privacy riconosciuto che, sulla base della struttura HLS delle norme sui sistemi di gestione (ISO 9001, ISO 27001, ecc.), consenta di gestire la protezione dei dati con un approccio sistemico, basato sui processi e concetti come il risk based thinking e l’attuazione di azioni finalizzate ad affrontare i potenziali rischi sul trattamento di dati personali.
  • Il ruolo del Data Processor Officer (DPO o RPD), come è definito dal Regolamento, non corrisponde ad una figura professionale specifica avente determinati requisiti di competenza (istruzione scolastica e post scolastica, conoscenze normative e tecniche, esperienza nell’ambito privacy, partecipazione a corsi di formazione, superamento di esami o abilitazioni). Il DPO è piuttosto “un ruolo” che potrebbe richiedere competenze differenti a seconda della realtà in cui opera e della criticità della protezione dei dati personali nell’organizzazione stessa.
  • Tutti gli schemi e gli standard sopra indicati permettono di ridurre il rischio che il titolare del trattamento e gli eventuali responsabili incorrano in infrazioni nel trattamento di dati personali e, quindi, rischino infrazioni anche pesanti e/o gravi danni di immagine.

Per concludere, secondo il risk based thinking, quali rischi corrono le aziende che non sono adeguate al GDPR?

La probabilità di essere sanzionati a seguito di ispezioni del Nucleo Privacy della GdF è estremamente bassa, un po’ più alta per organizzazioni che trattano dati particolarmente critici (la valutazione è fatta in base al numero delle ispezioni avvenute negli ultimi anni).

La probabilità di incorrere in sanzioni o in risarcimento danni a causa di istanze di interessati che si sentono danneggiati nella loro privacy oppure in caso di incidenti di dominio pubblico è un po’ più alta.

L’impatto delle conseguenze nel caso si verifichino suddetti eventi negativi dipende dal tipo di organizzazione e dai dati trattati, può essere significativo o devastante a seconda dei casi.

Leggi anche l’articolo Impatti del Regolamento Privacy sullo sviluppo software.




Opportunità per le imprese con il Piano Industria 4.0

In questi mesi si sente parlare molto delle agevolazioni fiscali per le imprese relative al Piano Industry 4.0, promosso già dal Governo Renzi in autunno 2016. Cerchiamo, in questo articolo, di capire meglio quali sono le reali opportunità per le imprese ed i vincoli che la Legge pone per usufruire degli incentivi, anche per capire in quali situazioni conviene realmente investire in questa direzione, al fine di non trovarsi brutte sorprese ad investimenti effettuati.

Il focus del Piano Industria 4.0 è il settore manifatturiero, esso punta alla digitalizzazione delle imprese produttrici, anche se non sono completamente escluse le aziende di servizi. Il fine del Governo è quello di incrementare gli investimenti nelle imprese, che al momento latitano e vedono il nostro Paese indietro rispetto al resto d’Europa. La carenza di investimenti è molto probabilmente la principale causa della crescita bassa (in termini di “zero virgola”…) dell’Industria del nostro Paese, soprattutto se paragonata agli altri Paesi industrializzati dell’Europa.

Perché Industria 4.0? La prima rivoluzione industriale è avvenuta alla fine del 18° secolo con l’introduzione di potenza vapore per il funzionamento degli stabilimenti produttivi, la seconda rivoluzione industriale si colloca all’inizio del 20° secolo con l’introduzione dell’elettricità, dei prodotti chimici e del petrolio; la terza rivoluzione industriale è iniziata all’inizio degli anni ’70 con l’utilizzo dell’elettronica e dell’IT per automatizzare ulteriormente la produzione (robot industriali e computer). Ora, invece, nella quarta rivoluzione industriale, il concetto fondamentale è la connessione con un sistema di raccolta e gestione dei dati, collegamento a internet, IoT o Internet delle Cose (utilizzo di macchine intelligenti, interconnesse e collegate ad internet) ed altro ancora.

L’elemento caratterizzante del piano di incentivazione, dunque, è la connessione, fra diversi dispositivi (macchina-elaboratore, macchina-macchina, macchina-internet, macchina-dispositivo mobile, ecc.).

Le tecnologie coinvolte nel piano Industry 4.0 sono le seguenti:

  1. Advanced Manufacturing Solutions (Robot collaborativi interconnessi e rapidamente programmabili).
  2. Additive manufacturing (Stampanti in 3D connesse a software di sviluppo digitali).
  3. Augmented Reality (Realtà aumentata a supporto dei processi produttivi).
  4. Simulation (Simulazione tra macchine interconnesse per ottimizzare i processi).
  5. Horizontal/Vertical Integration (Integrazione informazioni lungo la catena del valore dal fornitore al consumatore).
  6. Industrial Internet (Comunicazione multidirezionale tra processi produttivi e prodotti)
  7. Cloud (Gestione di elevate quantità di dati su sistemi aperti).
  8. Cyber- security (Sicurezza durante le operazioni in rete e su sistemi aperti).
  9. Big Data and Analytics (Analisi di un’ampia base dati per ottimizzare prodotti e processi produttivi).

Evidentemente l’elenco è disomogeneo, ma in ogni caso indica alle imprese quali sono le tecnologie abilitanti per usufruire delle agevolazioni.

Fra le voci più significative vi è l’integrazione orizzontale e verticale.

L’integrazione verticale va dall’acquisizione di dati a livello produttivo, attraverso sensori, all’elaborazione dati tramite software gestionali: è l’integrazione che parte dal MES (Manufacturing Execution System) al sistema di Controllo di Gestione.

Sono diverse le soluzioni di integrazione orizzontale, ad esempio possono passare attraverso la connessione con il fornitore per migliorare la supply chain comprendendo soluzioni per la collaborazione, il planning, l’order management, il tracking per la logistica, il data analytics e molto altro ancora.

Nel piano Industria 4.0 le principali incognite per le imprese possono essere così riepilogate:

  • il rapporto costi/benefici dell’intervento;
  • la mancanza di competenze digitali interne;
  • la portata degli investimenti, che comunque rappresentano un costo che, ricordiamolo, viene finanziato solo se l’impresa è in utile;
  • la carenza di standard digitali;
  • l’incertezza sulla sicurezza dei dati (ad esempio nel caso della connessione attraverso Internet of Things e il Cloud Computing).

Su quest’ultimo punto il Piano Industria 4.0 ha pensato di introdurre il capitolo della Sicurezza delle Informazioni, anche relativamente ai dati gestiti in ambito IoT.

Per capire meglio il significato e la portata di tali incognite occorre precisare che – per chi ancora non lo sapesse – le agevolazioni sono costituite dall’iper-ammortamento (250% del valore del bene) e dal super-ammortamento (140% del valore del bene), che si applicano, nel primo caso, ai beni materiali acquistati, nel secondo anche ai beni immateriali.

L’elenco dei beni materiali e immateriali a cui è applicabile il super e iper ammortamento è stato ufficialmente pubblicato dal Ministero dello Sviluppo Economico (MISE) ed è scaricabile in allegato al presente articolo insieme alle linee guida del MISE stesso per l’applicazione delle agevolazioni.

Occorre precisare che per rientrare nel Piano Industria 4.0 ed usufruire degli incentivi occorre acquisire almeno un bene materiale rientrante nell’elenco, ovvero acquisire strumentazione atta a trasformare un’apparecchiatura/macchina preesistente in un “bene Industria 4.0” (caso del revamping di macchinari). In altre parole per poter usufruire del super ammortamento per l’acquisto di un bene immateriale, ad esempio un software, rientrante nelle categorie previste dalla Legge, occorre che il soggetto beneficiario del finanziamento acquisti anche un bene materiale; non è richiesto il collegamento fra bene materiale e beni immateriali acquistati per usufruire dell’agevolazione! Ad esempio, al limite un’impresa potrebbe acquistare un sistema di sensori per acquisire dati da una macchina produttiva (ad esempio temperature da un forno) ed applicare il super ammortamento all’acquisto di un sistema MES o big data analytics che non trattano i dati rilevati dalla macchina 4.0.

Tra i vincoli per poter usufruire dell’agevolazione vi è che l’investimento deve avvenire entro il 31/12/2017, con almeno un ordine ed un anticipo del 20% pagato entro il 31/12/2017 e con consegna del bene entro 30/06/2018. La perizia giurata di un ingegnere iscritto all’Albo o di un perito industriale  è necessaria per investimenti superiori a 500.000 € per il singolo bene, negli altri casi è sufficiente una autodichiarazione del Legale Rappresentante dell’impresa.

È evidente che il fattore tempo gioca un ruolo fondamentale nella decisione ed effettuazione di investimenti che, soprattutto nel caso di PMI, normalmente richiedono una valutazione abbastanza lunga ed incerta. Visto poi che la Legge non è di chiarissima interpretazione (si attende in questo mese una Circolare interpretativa dell’Agenzia delle Entrate su molti aspetti ambigui), alcune imprese rischiano di effettuare investimenti che poi non risulteranno ammissibili, magari trascinati dalle indicazioni di venditori di macchine e apparecchiature. Al proposito va ricordato che l’autodichiarazione del Legale Rappresentante ha risvolti penali in caso di non ammissibilità del bene; dunque esiste la concreta possibilità che molte aziende richiedano comunque la perizia giurata di un ingegnere abilitato per garantire il vertice aziendale contro brutte sorprese (costo non iper-ammortizzabile e dichiarazione mendace). Buona prassi sarebbe rivolgersi, prima di effettuare l’investimento, ad un consulente che possa indirizzare l’azienda ed il management non competente nelle tecnologie da acquisire e verso investimenti che, non solo siano ammissibili agli incentivi Industria 4.0, ma che risultino realmente utili per l’azienda nel medio-lungo periodo.

Fra i principali fattori inibitori nell’adottare le tecnologie incluse nel piano Industria 4.0 vi è sicuramente la scarsa cultura digitale delle PMI italiane e una mancanza di leadership digitale del management della PMI stessa.

Tra i processi che potrebbero trarre maggior vantaggio dall’implementazione di misure Industry 4.0 spiccano sicuramente le tematiche di pianificazione, schedulazione e controllo avanzamento della produzione e lo sviluppo  del prodotto/industrializzazione.

Il Piano Industria 4.0 è un percorso di trasformazione, non solo tecnologico, ma anche organizzativo e gestionale. Il fine dell’impresa deve essere l’incremento del valore per il cliente, anche attraverso il miglioramento dell’efficienza aziendale, la fornitura di soluzioni innovative, la proposta di servizi innovativi e migliorativi rispetto allo standard.

Per iniziare un progetto di Industria 4.0  è importante effettuare una valutazione iniziale finalizzata all’obiettivo Industry 4.0 per capire di cosa l’azienda realmente bisogno, quali sono gli elementi di possibile miglioramento e le opportunità da poter cogliere, ma anche dei rischi connessi agli investimenti.

Si ribadisce che i benefici per beni materiali e immateriali devono essere connessi attraverso il soggetto beneficiario, non direttamente fra gli asset fisici e immateriali, ma chiaramente un piano Industry 4.0 coerente dovrà prendere in considerazione l’interconnessione fra gli uni e gli altri, solo così facendo si otterrà il massimo nel miglioramento dell’efficienza dei processi aziendali.

Si ricorda che il software deve essere incluso nell’allegato B per poter rientrare nell’incentivo, mentre per i software c.d. “embedded” prevale il riferimento al bene iper-ammortizzabile nel quale è contenuto. Tale bene deve appartenere ai beni dell’allegato A alla Legge.

Infine non è ancora chiaro quali costi accessori (consulenza finalizzata all’utilizzo del bene) siano iper e super ammortizzabili, al proposito si attende la Circolare di chiarimento dell’Agenzia delle Entrate.

[Download non trovato]

[Download non trovato]

[Download non trovato]




Sistemi di gestione del rischio di credito (SGRC)

rischio di creditoIl CREDIT RISK MANAGEMENT SYSTEMS CRMS FP 07:2015 (CRMS) è il primo schema (proprietario) che tratta la gestione del rischio di credito commerciale. Nasce dalle crescenti esigenze delle organizzazioni di mantenere il controllo sui crediti verso clienti, che se mal gestiti sono spesso una delle principali cause di fallimento delle imprese.

Il SGRC è coerente con i principi dell’HLS elaborato dall’ISO per gli standard sui Sistemi di Gestione (es. ISO 9001:2015, ISO 14001, ISO 27001, ecc.).

La finalità è quella di indirizzare le aziende nell’implementazione di procedure per la gestione del credito che permettano di determinare il livello di rischiosità del cliente, implementando azioni atte a contenere tale rischio mediante la definizione di un livello massimo di esposizione o altre forme di mitigazione, come la definizione di modalità e termini di pagamento coerenti, garanzie e clausole contrattuali appropriate e così via.

Il SGRC permette così l’espansione delle vendite senza compromettere l’equilibrio economico e, soprattutto,  finanziario dell’azienda.

Il Sistema recepisce l’approccio PDCA e la struttura di tutte le nuove norme sui sistemi di gestione (Contesto dell’organizzazione, Leadership, Pianificazione per il Sistema di gestione del credito, ecc.) pertanto si presta perfettamente ad essere integrata in atri Sistemi di Gestione (ISO 9001, ISO 14001, ISO 27001,…).

Tutti i requisiti sono ovviamente declinati nell’ottica della gestione del credito, ad es. l’Organizzazione deve identificare le parti interessate pertinenti al Sistema di Gestione per il Credito e i requisiti di tali parti interessate attinenti la gestione del credito, tenendo conto anche di eventuali

requisiti cogenti, ecc. Anche l’analisi del contesto esterno ed interno all’organizzazione è volta ad identificare i principali fattori che influenzano l’aspetto economico-finanziario, quali termini di pagamento imposti dal mercato o cogenti, tassi di interesse, accesso al credito presso Istituti di Credito o Società finanziarie, dinamiche dei costi del processo produttivo o di erogazione dei servizi, ecc.

Naturalmente l’attività di pianificazione delle attività finalizzate ad affrontare rischi ed opportunità nella gestione del credito commerciale costituisce uno dei capisaldi dello standard.

Il SGRC si basa sulla politica nella gestione del credito stabilita dalla direzione, che deve definire obiettivi ed indicatori per monitorare il raggiungimento degli obiettivi di gestione del credito.

A supporto della Direzione per la realizzazione del SGRC occorre nominare un Credit Manager che, indipendentemente da altri compiti e responsabilità, svolgerà determinate attività e assumerà precise responsabilità sull’argomento.

Le risorse e le relative competenze del personale devono essere commisurate alle esigenze di gestione del credito. Anche comunicazione, informazioni documentate e infrastrutture devono essere pianificati in base alle necessità di gestire il credito ed i relativi rischi connessi.

Per quanto riguarda le Attività Operative, l’organizzazione deve applicare un processo formale e documentato per l’analisi del rischio di perdita del credito. Tale processo include l’utilizzo di un modello di scoring attraverso il quale attribuire classi di rischio a ciascun cliente e determinare, di conseguenza, il grado di affidabilità del cliente in termini di solvibilità.

Il modello di credit scoring elabora una serie di informazioni utilizzando semplici ponderazioni e calcoli basati sull’esperienza aziendale oppure elaborati metodi statistici, pervenendo ad un punteggio sintetico di rating.

Il modello di scoring dovrebbe prendere in considerazione svariate informazioni, quali:

  • Puntualità e ritardi nei pagamenti pregressi;
  • Livello di esposizione nei confronti dell’organizzazione;
  • Dati societari (bilanci, ecc.)
  • Informazioni commerciali sul rischio di credito del cliente ottenute da società specializzate;
  • Elementi pregiudiziali e protesti;
  • Storicità e potenzialità del rapporto commerciale;

modelli di scoringIl modello di scoring non deve necessariamente essere un modello “validato” dalla teoria sull’argomento o soddisfare determinati canoni o standard, ma deve, soprattutto, rispondere alle esigenze dell’organizzazione per una efficiente gestione degli incassi e mitigazione del rischio di credito. Come vedremo nel seguito, la validazione del modello è interna, al fine di soddisfare i requisiti propri dell’organizzazione.

Se, infatti, Banche e società specializzate in rating finanziario hanno algoritmi elaborati di un certo tipo, per una PMI le esigenze potrebbero essere diverse, per esempio il medesimo ritardo nei pagamenti per organizzazioni diverse potrebbe avere un peso diverso nell’algoritmo di scoring.

A valle della classificazione dei clienti in una determinata classe di rischio, o comunque nell’attribuzione di un rating per ogni cliente, in base a criteri stabiliti, devono essere intraprese azioni per trattare il rischio di credito in ogni situazione. Si può variare, secondo le esigenze e le opportunità di ogni singola azienda, dalla riduzione o limitazione del fido, alla modifica delle modalità di pagamento o addirittura alla cessazione delle forniture fino al rientro del debito.

Il modello di scoring e le attività di mitigazione del rischio di credito conseguenti devono essere validate per dimostrare la loro capacità di ridurre il rischio di insolvenza. Questo può essere dimostrato migliorando gli indicatori stabiliti per monitorare il rischio di credito (es. percentuale di insoluto rispetto al fatturato, media dei ritardi di pagamento dei clienti, esposizione finanziaria, ecc.).

Le linee di credito dovranno essere stabilite, approvate e periodicamente riesaminate da funzioni della struttura organizzativa aziendale appositamente incaricate.

Oltre a quanto appena esposta dovranno essere definiti e gestiti i processi di comunicazione con i clienti, fatturazione, controllo operativo del portafoglio clienti, gestione del contenzioso e recupero crediti, controllo dei processi/prodotti/servizi affidati all’esterno, mediazione o azione legale, gestione perdite su crediti, continuità operativa.

La valutazione delle prestazioni è analoga a quanto previsto per la norma ISO 9001:2015:

  • Occorre stabilire ed attuare attività di monitoraggio e misurazione dei processi finalizzata a valutare l’efficacia del sistema di gestione del credito;
  • Vanno pianificati e condotti audit interni per verificare se il CRMS è conforme ai requisiti ed attuato efficacemente;
  • Deve essere periodicamente effettuato un Riesame di Direzione, finalizzato a valutare il raggiungimento degli obiettivi, nonché l’efficacia del CRMS;
  • Deve essere implementato un processo di miglioramento basato sul trattamento delle non conformità e sulla pianificazione ed attuazione delle conseguenti azioni correttive ritenute necessarie.

In conclusione lo schema è ben strutturato e costituisce un ulteriore anello di congiunzione fra sistemi qualità ISO 9001 e controllo di gestione, al fine di gestire l’azienda in maniera coordinata ed efficace, oltre che efficiente, da diversi punti di vista.

Tra i vantaggi nell’implementare il CRMS – ed eventualmente di certificarlo con un Organismo di Certificazione – vi sono la garanzia di ridurre in modo pianificato, e oserei dire scientifico, il rischio di perdite da crediti insoluti e il miglioramento della reputazione aziendale nei confronti degli Istituti di Credito che, al di là di altri parametri, riconosceranno nell’organizzazione che attua un CRMS certificato, un soggetto sicuramente più affidabile nell’erogazione di credito, proprio perché tiene maggiormente sotto controllo i propri crediti.




La sicurezza delle informazioni in caso di calamità naturali e non naturali

terremotoIn caso di catastrofi e calamità naturali quali terremoti, alluvioni, inondazioni, incendi, eruzioni vulcaniche, uragani oppure atti terroristici, uno dei danni collaterali dopo la perdita di vite umane e i danni materiali ad edifici ed infrastrutture, occorre considerare il blocco dei sistemi informativi che può rallentare notevolmente la ripresa delle normali attività.

Le metodologie da impiegare per prevenire e mitigar i danni che possono compromettere la ripresa delle attività dopo un evento catastrofico riguardano la tematica della business continuity (continuità operativa).

Nell’intervento presentato lo scorso 17/11 al Convegno EVENTI SISMICI: PREVENZIONE, PROTEZIONE, SICUREZZA, EMERGENZA, le cui slide sonono scaricabili in questa pagina, si sono presentate tutte le attività da porre in essere per controllare tali situazioni indesiderate, in particolare sono stati trattati i seguenti argomenti:

  • business continuitymanagement
  • normative ISO 22301, ISO 2001/27002 e ISO 27031 per la gestione della business continuity, con particolare riferimento ai sistemi informatici
  • gestione dei rischi per la continuità operativa
  • disaster recovery
  • obiettivi ed indicatori di business continuity
  • business continuity plan (piano di continuità operativa).

 

La sicurezza dei dati in caso di terremoto