Quale controllo di gestione ci attende nel 2021

Il 2020 ci ha portato la pandemia di Coronavirus, che può essere classificato come uno degli eventi più destabilizzanti dell’economia mondiale negli ultimi 10 anni, paragonabile solo alle grandi guerre a livello mondiale. Secondo la teoria della Business Continuity si tratta di una “disruption” (tradotto come “interruzione”, “disturbo” o “dissesto”) che, secondo la norma UNI EN ISO 22301 (Sistemi di gestione della continuità operativa) viene inteso come un incidente o evento (positivo o negativo) che provoca una interruzione nell’erogazione di prodotti e/o servizi.

Ma in quest’articolo non vorrei parlare di questa tematica e della resilienza necessaria alle imprese per riprendere le attività produttive o di erogazione di servizi in modo sufficientemente accettabile per tutte le parti interessate, bensì di come le imprese – soprattutto quelle medio piccole – dovrebbero modificare il loro approccio al controllo della gestione aziendale.

(altro…)

È uscita la ISO 9001:2015: che fare?

Businesswoman Crossing the Finish Line Ahead of BusinessmenLo scorso 22 settembre è stata pubblicata (in realtà retrodatata 15 settembre 2015) la nuova versione della norma UNI EN ISO 9001:2015 “Sistemi di gestione per la qualità – Requisiti”. Tale norma, come noto, regola i sistemi di gestione per la qualità e la relativa certificazione in Italia e nel mondo.

Premesso che non è intenzione di questo articolo entrare nel merito tecnico e sostanziale dei singoli capitoli della norma, per la cui analisi si rimanda a successivi articoli, vorrei esprimere alcune considerazioni generali sulla nuova norma e, soprattutto, illustrare quale approccio dovrebbero tenere le organizzazioni certificate e certificande nei confronti della nuova edizione della norma ISO 9001.

(altro…)

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. (altro…)