Abbiamo sottolineato più volte l'importanza di sviluppare un Sistema Integrato per poter coprire ambiti diversi, ottimizzando le risorse interne di un'organizzazione ma forse non è stato sottolineato abbastanza che oltre al classico sistema integrato “qualità - ambiente” (ISO 9001 - ISO 14001), a seconda delle esigenze aziendali possono essere integrati anche tutti gli altri sistemi che fanno riferimento a standard concepiti proprio a questo scopo.
Un esempio che si sta vedendo molto, ultimamente, anche se ancora poco in Italia, è l'integrazione del sistema qualità (ISO 9001) con il sistema della sicurezza delle informazioni (ISO 27001).
Integrare i due sistemi, ricordiamolo, significa che là dove c'è una sovrapposizione tra i requisiti della ISO 9001 e quelli della ISO 27001, si applica lo stesso processo e si conduce l'audit nell'area mediante una sola verifica.
A partire dal 2016, le certificazioni secondo lo standard ISO 27001 sono aumentate del 20% in tutta Europa perché la gestione dei dati, come vengono utilizzati ma anche come vengono protetti stanno diventando aree di interesse chiave per le imprese. Per molte organizzazioni che hanno già l'idea di implementare la ISO 9001 è dunque bene decidere fin dall'inizio se implementare anche la ISO 27001 per far funzionare fin da subito i due sistemi in perfetta sincronia.
Se invece, come avviene spesso, secondo la nostra esperienza, l'azienda si è certificata prima secondo la ISO 9001 e solamente in un secondo tempo si è accorta dell'importanza di mettere al sicuro le proprie informazioni e si è decisa ad adottare lo standard ISO 27001, è bene pensare fin dall'inizio a come integrare questi due sistemi nel modo più efficiente per risparmiare risorse, a partire dal tempo necessario per portare a regime il secondo sistema integrato con il primo e farlo certificare.
Ogni sistema di gestione richiede come supporto documentazione, alcune procedure scritte, delle verifiche, dei moduli di controllo e tanto altro. Implementare due diversi sistemi in momenti differenti non ha alcun senso se ci sono dei requisiti comuni come nel caso della norma ISO 9001 e della ISO 27001. Un sistema integrato, infatti, non è altro che un insieme di processi interconnessi che condividono le stesse risorse e soddisfano i bisogni degli stakeholder, senza sprecare risorse preziose.
Partiamo dai punti in comune che hanno le due norme:
- entrambi gli standard si concentrano sulle problematiche interne ed esterne rilevanti per l'azienda ma lo fanno da prospettive diverse;
- entrambe le norme seguono Allegato SL, il che significa che ci sono somiglianze nella documentazione e nelle procedure necessarie per implementare efficacemente i due sistemi;
- i due documenti richiedono che si faccia una riflessione sui requisiti delle diverse parti interessate per ciò che riguarda qualità e sicurezza delle informazioni. Questi requisiti possono essere affrontati con lo stesso processo e può essere creato un elenco integrato di parti interessate;
- la ISO 9001 e la ISO 27001 richiedono che responsabilità e autorità vengano identificate e, sebbene i ruoli e le responsabilità all'interno di un sistema qualità e di un sistema per la sicurezza delle informazioni siano diversi, possono essere definiti allo stesso modo mediante lo stesso processo con un notevole risparmio di risorse;
- altri requisiti come quelli che riguardano la competenza, la consapevolezza, la comunicazione, il controllo dei documenti e delle registrazioni del sistema sono comuni ai due sistemi e possono essere affrontati allo stesso modo;
- per ciò che riguarda audit interni e riesame della direzione, i requisiti da verificare e gli input e gli output della revisione sono diversi, naturalmente, ma il modo in cui viene condotto il processo è lo stesso. A seconda delle dimensioni e della complessità dell'azienda e dei suoi processi, l'audit interno o il riesame della direzione possono essere eseguiti contemporaneamente o separatamente;
- entrambi gli standard, poi, richiedono sistemi per la gestione delle non conformità e delle azioni correttive e il processo alla base può essere lo stesso per entrambi gli standard e non c'è motivo di separarli
Tenete ben presente, però, che, sebbene alcuni requisiti sembrino gli stessi e possano essere coperti dallo stesso processo, ciò non significa che avranno gli stessi risultati per entrambi gli standard. Il focus della ISO 9001 è sui prodotti e sui servizi di qualità e sulla soddisfazione del cliente, mentre la ISO 27001 è focalizzata sulla sicurezza delle informazioni pertanto, i risultati del riesame della direzione così come gli input saranno diversi e lo stesso vale per la maggior parte dei requisiti comuni sopra menzionati.
Integrando vari standard, in ogni caso, sono molte le sinergie che consentono di combinare le risorse per risparmiare tempo e denaro per la manutenzione e il miglioramento del sistema di gestione.
Con un approccio olistico al sistema di gestione integrato che incarna le migliori pratiche internazionali, le organizzazioni possono dimostrare la conformità agli standard ISO 27001 e ISO 9001 a clienti, organismi di certificazione e autorità di regolamentazione.
Inoltre, integrando la gestione della qualità e la sicurezza delle informazioni, le organizzazioni possono dimostrare sia la qualità che la sicurezza dei loro processi, nonché ottenere un significativo vantaggio competitivo attraverso migliori prestazioni organizzative, riduzione del rischio, migliore soddisfazione del cliente e maggiore reputazione e commerciabilità.
I nostri auditor sono esperti di entrambi i sistemi e sono in grado di verificare l'applicazione dei requisiti con la migliore efficacia ed efficienza possibile. Scegliete ACSQ per la vostra certificazione!