In post precedenti avevo segnalato gli Amendment agli standard ISO sui sistemi di gestione per introdurre la questione relativa ai cambiamenti climatici. Avevo espresso perplessità, non tanto sul tema in sé (che mi trova assolutamente attento e preoccupato), ma sulle modalità.
Il punto è la pertinenza: per molti standard, per esempio la ISO/IEC 27001, la questione relativa ai cambiamenti climatici non è pertinente. Per questo, a mio parere, andava evitata e cerco di approfondire con tre argomentazioni.
La prima riguarda l'atomicità e il fatto che uno standard dovrebbe affrontare una questione e non tante. Questo è noto a chiunque si occupa di risolvere problemi e sa che vanno ridotti in problemi specifici per poter essere risolti, se no si crea confusione. Gli standard relativi ai sistemi di gestione nascono non per essere totali, ma, giustamente, per affrontare una specifica questione (la qualità, l'ambiente, la sicurezza delle informazioni, la corruzione, la gestione dei servizi, la privacy, eccetera). Questo amendment, invece, va contro questo principio.
La seconda riguarda le competenze: io conosco la sicurezza delle informazioni, non le tecniche di controllo del clima. Per questo motivo, non posso occuparmene neanche come auditor. Già è difficile trovare consulenti e auditor preparati su disciplina, settore e tipo di organizzazione, figuriamoci trovarne adeguatamente preparati e con le giuste modalità di relazione su altri argomenti. Purtroppo gli esempi sono tanti (e abbiamo visto i danni fatti da consulenti e auditor che hanno voluto discutere di direzione generale di un'impresa, di direzione strategica, di controllo nelle PMI).
La terza è che, dopo questo amendment, anche altri dovrebbero essere considerati, tra cui: la parità di genere, la responsabilità sociale, la parità di opportunità a prescindere dalle origini, la sostenibilità economica.
Aggiungo che, proprio per questi motivi, gli auditor sono invitati a non ampliare il proprio mandato oltre alla disciplina per cui sono chiamati a operare. Faccio un esempio: se, in un audit del sistema di gestione per la sicurezza delle informazioni, dovessi rilevare che l'organizzazione non separa i rifiuti, non dovrei segnalare alcuna non conformità.
Concludo dicendo che su questo argomento, nell'ambito delle materie che seguo, come consulente e auditor, mi limiterò a raccogliere le indicazioni delle organizzazioni per le quali lavoro e a indicare loro, informalmente, esperienze viste in altre organizzazioni.
Nessun commento:
Posta un commento