sabato 11 ottobre 2014

Come non fare verifiche (1 di 3) - Gli orali

Negli ultimi mesi mi è capitato di discutere su "come fare verifiche", sia
come auditor, sia come consulente (dove le verifiche hanno lo scopo di
raccogliere informazioni per un "assessment").

Un primo approccio sbagliato prevede di svolgere verifiche solo attraverso
interviste orali ai manager.

Tutti però dovremmo conoscere la relatività della narrazione. Si ricordi il
racconto "Nel bosco" di Akutagawa o il film "Rashomon" di Kurosawa, che
hanno reso artisticamente quanto non esistano narratori onniscenti e
affidabili; per racconti più recenti, consiglio la prima stupenda stagione
del telefilm "True detective".

Questo per dire che gli intervistati tendono a non raccontare difetti nei
processi in cui sono coinvolti ed enfatizzano invece le carenze che
giustificano l'avvio di progetti che invece vorrebbero iniziare. Quando
queste narrazioni sono raccolte da una persona che le ordina non
costituiscono però il risultato di una verifica professionale, che dovrebbe
essere invece completa, esaustiva e il più possibile imparziale. Solo una
verifica sul campo presso gli operatori e l'analisi diretta dei processi e
dei loro risultati possono testimoniare come sono nella realtà, se sono
adeguati, se presentano dei rischi che un manager spesso non rileva (in caso
contrario, a cosa servirebbero gli specialisti?).

Ogni volta che ho avuto l'opportunità di fare verifiche sul campo ho trovato
carenze più numerose e diverse di quelle segnalate dai manager nelle
interviste.

Nell'ambito della sicurezza questo approccio presenta un'ulteriore difetto:
ai consulenti viene spesso chiesto (e i consulenti spesso propongono) di
fare una valutazione dellla sicurezza solo attraverso interviste ai manager
e dei vulnerability assessment tecnologici, senza però mai analizzare quanto
sta in mezzo, ossia le attività del personale tecnico.

Questo perché succede? Perché i manager non vogliono vedere messa in
discussione la loro competenza e i verificatori temono la complessità di una
verifica sul campo (per esempio, un conto è prendere nota del fatto che sono
svolti e documentati i test, un altro è capire se sono completi e adeguati).

Nessun commento:

Posta un commento