Negli ultimi mesi mi è capitato di discutere su "come fare verifiche", sia
come auditor, sia come consulente (dove le verifiche hanno lo scopo di
raccogliere informazioni per un "assessment").
Un secondo approccio sbagliato prevede di svolgere verifiche solo della
"governance" o del "sistema di gestione".
Il termine "sistema di gestione" è quello usato per gli standard ISO 9001
("Sistema di gestione per la qualità"), ISO/IEC 20000 ("Sistema di gestione
per i servizi") e 27001 ("Sistema di gestione per la sicurezza delle
informazioni"). Qui, alcuni intendono "sistema di gestione" come "sistema
direzionale", dimenticando che la definizione non si limita ai soli
"elementi per stabilire obiettivi, politiche e processi", ma anche agli
"elementi per raggiungere gli obiettivi", tra cui, ovviamente, ci sono anche
le attività operative.
Questo approccio, quindi, prevede di verificare solo le politiche, le
procedure, la pianificazione e il monitoraggio delle azioni dei manager e
altre cose documentali. Questo avviene spesso in una comoda sala riunioni.
Però, per comprendere se i processi sono veramente efficaci, e quindi se la
governance o il sistema di gestione lo sono, non ci sono altri mezzi che
vederli sul campo.
Sempre nell'ambito delle norme ISO più legate all'informatica come le
ISO/IEC 20000 e 27001 (ma credo che ciò avvenga anche negli altri settori)
alcuni teorizzano la natura particolare delle norme in questione. Però ho
visto fare audit in sala riunioni anche per la qualità e vedo fare audit sul
campo per tutte le altre. Temo che nel settore dell'informatica ci siano
troppi "professionisti" che sanno discettare di processi in senso generale,
ma hanno difficoltà a capire le differenze nella gestione dei sistemi e
delle applicazioni (giusto per fare un esempio) o a capire perché Telnet non
sia sicuro (questo l'ho visto con i miei occhi).
Il fatto che la ISO 9001 sia ritenuta una norma "semplice" o "inutile" è
proprio dovuto al fatto che alcuni la interpretano erroneamente come un
"insieme di documenti". E quindi pregherei i professionisti seri e preparati
di non fare altrettanto con altre norme perché questo approccio ci porterà a
degradare il mercato.
Nessun commento:
Posta un commento