2. Il sistema di servizio La nostra missione professionale è aiutare concretamente i dirigenti di impresa o ente economico, profit o non profit, a focalizzare, descrivere, divulgare, comunicare e mettere in pratica, mediante interventi organizzativi, politiche di innovazione nel rapporto con gli stakeholders , che essi ritengono atte a garantire e sviluppare in modo sostenibile il valore delle loro organizzazioni ISTITUZIONI ISTITUTI DI CREDITO LAVORATORI COMUNITÀ SOCIALE FORNITORI E OUTSOURCERS AMBIENTE FISICO valore di impresa basato su una redditività di lungo periodo CLIENTELA PROPRIETÀ IMPRESA La missione RBC AMBIENTE INFORMATIVO INNOVAZIONE
3. Il sistema di servizio Le competenze riassumono concrete esperienze sviluppate in modo originale nell’ambito di significative realtà organizzative e metodologie reperite nel knowledge mondiale . Il nostro gruppo di lavoro è focalizzato nel fornire servizi professionali volti a mettere sotto controllo i principali rischi operativi aziendali soggetti a contromisure organizzative e tecnologiche, liberando risorse manageriali altrimenti sottratte al core business dell’azienda. Le aree di competenza INNOVAZIONE Responsabilità Sociale d’impresa Salute e Sicurezza del personale Business Security & Continuity Governance Risk management Gestione ambientale e territoriale Energia CO2 sostenibilità Core Business
4. I servizi sono tesi a progettare e fornire sistemi organizzativi funzionanti con personale e risorse interne o esterne con un bilanciamento ottimale tra costi, benefici intesi come riduzione dei costi virtuali per danni, degrado, incidenti e come miglioramento dell’efficienza per l’utilizzo delle risorse aziendali. Strumenti Gli strumenti INNOVAZIONE
5. Reporting e Accountability Responsabiltà d’impresa GRI,GBS AA1000 Gestione adeguatezze Codici e princìpi ONU-OCSE Corporate Governance Sistemi e Modelii L.231, Saubranes.Oxley. Gestione rischio Qualità prodotto ISO 9001 e derivate Gestione Etica Standard SA8000 Gestione conformità leggi locali Gestione ambientale Sistemi di Gestione ISO 14001 - EMAS Bilanci sociali e di sostenibilità Triple bottom line Gestione Privacy l.196 Sicurezza informazioni BS 7799 l. 626, sicurezza lavoro OHSAS 18001 Gli strumenti I servizi sono tesi a progettare e fornire sistemi organizzativi funzionanti con personale e risorse interne o esterne con un bilanciamento ottimale tra costi, benefici intesi come riduzione dei costi virtuali per danni, degrado, incidenti e come miglioramento dell’efficienza per l’utilizzo delle risorse aziendali. Sistemi e Modelii Per l’Innovazione
6.
7.
8.
9.
10.
11.
12. Attacchi da personale infedele Misure penali per corruzione Contenzioso da clienti per difettosità prodotti Servizi inadeguati Non conformità di Qualità Contenzioso con fornitori per inadeguatezze contrattuali Incidenti di sicurezza lavoro assenze Decadimento immagine per gestione non responsabile Incidenti ambientali o trasporto Furti di informazioni o violazioni privacy dei terzi Attacchi informatici e per posta elettronica Human engineering ……… .. Nel viaggio può incontrare dei rischi ……
13. DIREZIONE (PLAN) Politica ed Obiettivi Organizzazione Mezzi e Risorse processi aziendali mirati al raggiungimento degli obiettivi individuazione delle cause azioni correttive e preventive SISTEMA ORGANIZZATIVO (DO) MIGLIORAMENTO (ACT) MISURAZIONE (CHECK) monitoraggio degli obiettivi Ciclo di miglioramento continuo
14.
15. GRM Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Sicurezza Logica Organizzazione Sicurezza Rischi legati al non rispetto di leggi cogenti Area Qualità Consulenza per integrazione sistemi di gestione qualità, ambiente, safety, sicurezza, etica, web marketing Progettazione sistemi organizzativi di gestione qualità ISO9001:2000 Politiche, Obiettivi e misurazioni Gestione outsurcing processi qualità Documentazione web Verifiche ispettive Project management programmi di miglioramento Valutazione Marchi per siti web Servizi a Clienti
16. GRM Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Sicurezza Logica Organizzazione Sicurezza Rischi legati al non rispetto di leggi cogenti Area Processi Consulenza per reingegenerizzazione processi Programmi di miglioramento continuo Benchmarking Balanced scorecards Process innovation Applicazioni ERP e derivate Servizi a Clienti
17. GRM Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Sicurezza Logica Organizzazione Sicurezza Rischi legati al non rispetto di leggi cogenti Area Sicurezza IT Consulenza per adeguamento misure minime c Progettazione sistemi organizativi di gestione della sicurezza riferiti BS7799-2 Redazione di security policies Risk Assessment e management Statement of applicability Selezione tecniche e controlli Documentazione sistema Business continuity plans Verifiche Predisposizione alla certificazione Servizi a Clienti
18. GRM Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Sicurezza Logica Organizzazione Sicurezza Rischi legati al non rispetto di leggi cogenti Area law compliance Consulenza leggi ambientali, ISO 14.000:1996 Consulenza Privacy Consulenza Sicurezza lavoro OSHAS 18.000 Consulenza Social accountability SA 8000 Servizi a Clienti
19. BENEFICI METODI Gestione globale dei rischi aziendali per : OBIETTIVI RISCHI Svalutazione azioni Massimizzazione valore azioni Banche, finanziarie, assicurazioni Operatori di e-business Servizi professionali alle Imprese Aziende manufatturiere, Logistica AMBITI Aziende commerciali, distribuzione Utilities e servizi Pubblici Turismo e servizi di trasporto Customer retention & improvement Sicurezza lavoro, HR retention Protezione legale dei dirigenti Coerenza e sincronizzazione processi Aderenza alle leggi e politiche Protezione legale dei dirigenti Continuità del business Protezione legale dei dirigenti Immagine, brand, considerazione della comunità Trust & confidence interna ed esterna Gestione controllata della qualità Ottimizzazione sistemi e ottemperanza leggi Pianificazione del miglioramento Gestione dell’impatto ambientale Integrità, disponibilità, riservatezza delle informazioni Monitoraggio aspetti etici del business Verifica applicazione leggi, policies e/o standard Progettazione, avviamento e gestione sistemi qualità Sistemi integrati safety-legale Programmi di miglioramento performance processi Progettazione, avviamento e gestione sistemi ambientali SERVIZI Programmi di protezione delle informazioni aziendali Consulenza etica del lavoro Auditing e valutazione ISO 9001 e derivate di settore Harringthon OHSAS 18000, legge it/EU ISO 9004- EFQM, Balanced scorecard ISO 14000-Harringhton BS 7799, Cobit, cramm ISO 13335 ISO 15408 SA 8000 ISO 30011, ISACA EB trust, ISEC Perdita di clienti, reclami, resi Perdita risorse, turnover, malattie Processi in deriva scarti, perdite, rifacimenti Azioni legali, contenziosi,sanzioni Pubblicità negativa Furti di informazioni, divulgazione Segreti, virus, interruzioni business Decadimento percezione pubblica del brand Carenza di fiducia del mercato
20.
21.
22.
23.
24.
25.
26.
27.
28.
29. Global Risk management : Tassonomia GRM Rischi legati alla qualità delle forniture Rischi legati alla violazione della sicurezza delle informazioni Rischi legati al non rispetto di leggi cogenti Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Logica Organizzativa Sicurezza Lavoro Privacy Ambiente /Emas Perdita di clienti, reclami, resi Perdita risorse, turnover, malattie Processi in deriva scarti, perdite, rifacimenti Azioni legali, contenziosi,sanzioni Pubblicità negativa Furti di informazioni, divulgazione Segreti, virus, interruzioni business Decadimento percezione pubblica del brand Carenza di fiducia del mercato
30. Global Risk management : Tassonomia GRM Rischi legati alla qualità delle forniture Rischi legati alla violazione della sicurezza delle informazioni Rischi legati al non rispetto di leggi cogenti Non Conformità Output Servizi Prodotti Non Efficienza Processi interni Sicurezza Fisica Logica Organizzativa Sicurezza Lavoro Privacy Ambiente /Emas Perdita di clienti, reclami, resi Perdita risorse, turnover, malattie Processi in deriva scarti, perdite, rifacimenti Azioni legali, contenziosi,sanzioni Pubblicità negativa Furti di informazioni, divulgazione Segreti, virus, interruzioni business Decadimento percezione pubblica del brand Carenza di fiducia del mercato
31. Global Risk management : Copertura Normativa- Standard Internazionali e Provvedimenti di legge GRM Rischi legati al non rispetto di leggi cogenti ISO 9001:2000 + deriv. settore ISO 9004:2000 + deriv. settore BS 7799 ISO 17799 ISO TR 13335 IS0 15408 OSHAS 18000 L.626 L.675 DPR 318/99 ISO 14000:96 EMAS Social Accountability SA 8000 Requisiti minimi Prerequisito; la tenuta sotto controllo di prodotti e processi Prerequisito; la protezione delle informazioni Rischi legati alla qualità delle forniture Rischi legati alla violazione della sicurezza delle informazioni
32. Global Risk management : Copertura Normativa- Standard Internazionali e Provvedimenti di legge ISO 9004:2000 Miglioramento Processi Rischi legati alla qualità delle forniture Real Estate ISO 9001:2000 Conformità P/S ISO 9004-2 Servizi ISO 9004-3 Processi Continui Fashion Pharma Public Services Finance Logistics Retail Gov.mt ISO 9001:2000 Media ISO 9000-3 ISO IEC 12207 ISOIEC 9126 Produzione e Progettazione software TS 16949 Automotive TLC 9001 Telecom ISO 9001:2000 D.L. Energia ISO 9001:2000 Haccp Alimentare ISO 9004-2 Guide Speciali Standard Di settore
34. ISO TR 13335 Rischi legati alla violazione della sicurezza delle informazioni IS0 15408 “ Common Criteria” Metodi CM Cobit Cramm BS 7799 Parte 1 Parte 2 ISO 17799 Parte 1 IT Security: Tassonomia
35. Law compliance: Tassonomia Rischi legati al non rispetto di leggi cogenti OSHAS 18000 L.626 Social Accountability SA 8000 L.675 DPR 318/99 ISO 1400:96 EMAS
36.
37.
38.
39. Ciclo di vita del processo qualità e miglioramento Liv 2. Gestione Tattica del Ciclo di vita del sistema qualità e miglioramento Liv 1. Gestione operativa del processo Liv 3. Gestione strategica del Ciclo di vita del miglioramento evolutivo Attore: Direzione Attore: Quality manager e team consulenti Attore: Team di supporto Attività operative di gestione del sistema Gestione dei progetti di miglioramento Attività strategiche Attività Direzionali Attività Operative di sistema Ascolto Requisiti Bisogni Aspettative dei Clienti Documentazione Sistema Pubblicità alle regole Miglioramento Regole Definizione delle regole per il conseguimento delle caratteristiche CICLO DI VITA DEL PROCESSO QUALITA’ Formazione ed addestramento Verifiche ispettive e t.s.controllo dei processi attraverso le evidenze Gestione delle evidenze dei processi e dei controlli Studio Misure e campionamenti Gestione delle non conformità Azioni migliorative RILEVAMENTO SODDISFAZIONE CLIENTE ESECUZIONE DEI PROCESSI AZIENDALI Definizione della qualità (insieme di caratteristiche Competitive) Review Sistema 1 e d c b a 5 4 3 2 f g h CONTROLLO PROCESSI/PRODOTTI/SERVIZI e Attività Gestionali di sistema
40. Ciclo di vita del processo qualità e miglioramento Liv 2. Gestione Tattica del Ciclo di vita del sistema qualità e miglioramento Liv 1. Gestione operativa del processo Liv 3. Gestione strategica del Ciclo di vita del miglioramento evolutivo Attore: Direzione Attore: Quality manager e team consulenti Attore: Team di supporto Attività operative di gestione del sistema Gestione dei progetti di miglioramento Attività strategiche
41.
42. Qualità come efficienza dei processi Ma dal sistema di base, è possibile trarre i maggiori benefici se se ne prende spunto per fondare un più robusto processo di progetto continuo qualità e miglioramento, come suggerito dallo standard ISO 9004:2000, che , nella accezione più ampia, indica come fare in modo che gli spunti di miglioramento che sorgono nel corso delle attività vengano incanalati in verso la direzione e costituiscano un continuo stimolo alle decisioni tattiche e strategiche di business. Il processo nato per il monitoraggio della qualità si trasforma così in un processo a tre livelli, rilevazione, analisi, decisione direzionale, volto alla standardizzazione e tenuta sotto controllo del naturale processo di miglioramento che permette alle aziende di adattarsi ai mutamenti ambientali e raggiungere sempre migliori performances. Ma questo processo non è opzionale, solo per le aziende che vogliono competere come best in class, ma è in effetti un processo obbligatorio anche per chi vuole solo mantenere una posizione di business che ritiene già soddisfacente: infatti i processi aziendali, lasciati privi di continui controlli, vanno alla deriva per banali ragioni: deterioramento di risorse, cambiamenti che rendono inutilizzabili attività, disponibilità di mezzi avanzati, perdita di personale, piccoli sabotaggi . Le strutture organizzative sono in continuo cambiamento ed evoluzione in funzione di situazioni gestionali ed economiche contingenti e sono progettate per porre in atto un insieme di processi relativamente stabili (modello) concepito in funzione del raggiungimento delle finalità aziendali e del mercato di riferimento. I nostri interventi di consulenza applicano la standardizzazione evolutiva, nel senso di raccogliere gli aggiornamenti evolutivi naturali, valutarli, validarli e farne oggetto di standardizzazione con l’obiettivo della la tenuta sotto controllo di processi che, lasciati a se stessi, vanno alla deriva. Occorre inserire nel sistema le novità che emergono ogni giorno dall’operatività, che sono la reale evoluzione aziendale, standardizzarle e veicolarle verso gli altri collaboratori: questo è il meccanismo del miglioramento: altrimenti il sistema produce non un processo a valore aggiunto ma solamente un’insieme di attività che risentono del pericolo di burocratizzazione Occorre invece trasferire Idee direzionali alle le persone adeguatamente “empowerizzate” e sfruttare l’elevato grado di “know how” di tutti i componenti dell’azienda non come solo operatori che eseguono, ma elementi pensanti. Questo assicura un elevato ritorno dell’investimento ed è quello che Euranet aiuta a porre in atto secondo il progetto qui presentato. “ sistema” è un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno. Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di un processo. I processi sono l’ insieme di attività volte ad uno scopo coerente con le finalità operative per cui sono progettati, attivate da persone organizzate secondo schemi organizzativi, gerarchici, di competenza e di responsabilità che possono variare nel tempo. Operano trasformazione di input di informazioni, materiali e risorse in output utili al conseguimento delle finalità progettuali
43. Qualità come efficienza dei processi I processi aziendali, lasciati privi di continui controlli “vanno alla deriva” per banali ragioni: deterioramento di risorse, cambiamenti che rendono inutilizzabili attività, disponibilità di mezzi più avanzati, perdita di personale, piccoli sabotaggi . Inoltre, per normale evoluzione di business e tecnologica, le strutture organizzative sono in continuo cambiamento in funzione di situazioni gestionali ed aziendali contingenti . Se esse non sono progettate per porre in atto un insieme di processi relativamente stabili (modello) concepito in funzione del raggiungimento delle finalità aziendali e del mercato di riferimento, l’evoluzione non risulta guidata e può creare decadimenti di prestazioni. Proprio per intervenire su questi problemi di deriva e di cambiamento, il sistema “qualità”, nato per la garanzia e poi la gestione delle caratteristiche qualitative dei prodotti o servizi, assume un nuova e se possibile più importante valenza , come espresso dalla norma “volontaria” ISO 9004:2000, di garantire l’efficacia dei processi, l’”early warning” sulla loro deriva, e la coerenza tra con le strutture organizzative. In presenza di un sistema organizzativo teso al miglioramento, sul modello ISO9001-9004, la naturale tendenza al deterioramento viene sostituita da un indirizzo guidato e tenuto sotto controllo,volto al miglioramento delle prestazioni di processi, parallela all’innnalzamento delle capacità concorrenziali dell’azienda. Così risulta facilmente comprensibile come un sistema gestionale aziendale , inteso come un insieme di dati, informazioni anche supportate da carta, apparati tecnologici, applicativi software, persone, e reti di comunicazione, costato molto come investimento in risorse interne ed esterne, si presti a fornire un inestimabile ritorno dell’investimento R.O.I. se indirizzato dalla Direzione come strumento gestionale di controllo e propulsione del miglioramento del business. Con un paragone fisico si può dire che se la qualità dei prodotto e servizi fosse paragonata alla “velocità” di un’auto da corsa (l’azienda), il sistema qualità base ISO 9001:2000 ne garantisce la conservazione, lottando contro le inerzie dell’organizzazione e le derive dei processi che congiurano per la decelerazione, ma solo il sistema finalizzato al miglioramento ISO 9004:2000 ne garantisce l’accelerazione ! “ sistema” è un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno. Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di un processo. I processi sono l’ insieme di attività volte ad uno scopo coerente con le finalità operative per cui sono progettati, attivate da persone organizzate secondo schemi organizzativi, gerarchici, di competenza e di responsabilità che possono variare nel tempo. Operano trasformazione di input di informazioni, materiali e risorse in output utili al conseguimento delle finalità progettuali
44.
45. Sicurezza Fisica, Logica, Organizzativa Ogni Business si basa su informazioni I rischi di furto o danni Ci sono sempre stati In pratica non si faceva niente Le probabilità di evento dannoso per l’azienda in generale erano basse Non c’era particolare Necessità di gestione Bastava stare attenti La connettività globale Crea nuovi rischi (virus, dos, ecc Le probabilità di incidente salgono Occorre cultura delle minacce e delle possibili contromisure Stati ed istituzioni sollecitano la protezione delle informazioni nei confronti dei terzi da parte dei soggetti che le raccolgono e gestiscono Sono vigenti leggi e pesanti sanzioni per che i non provvede in modo organico a proteggere li altri, quindi se stesso Occorre che i dirigenti, spesso non approfonditi, non solo deleghino ai tecnici ma gestiscano il livello di sicurezza che strategicamente desiderano per la loro azienda Il COSTO dei danni provocati Può al limite superare il valore Dell’azienda
46. Sicurezza Fisica, Logica, Organizzativa 20 Costi di prevenzione e protezione Valore Asset Minacce PREVENZIONE gestire il rischio Con un budget illimitato e in un tempo illimitato, si può costruire un sistema di gestione della sicurezza quasi perfetto. Ma quello che serve è Sistema di gestione appropriato ed adeguato
47. Ciclo di vita di un processo di ITC security system Stima dei Rischi Analisi as is Definizione to be Procedure Miglioramento Definizione dei provvedimenti per mitigazione rischi Autorità Responsabile SISTEMA GESTIONE SICUREZZA Formazione ed addestramento, Prove di gestione rischi Verifica e controllo del Sistema Sicurezza-Gestione gestione rischi Gestione del Sistema Sicurezza-Gestione gestione rischi Piani di protezione e sicurezza, Selezione ed acquisto sw (hw) Gestione degli Incidenti Azioni migliorative Monitoraggio efficacia Processi informatici in atto Definizione Dei Livelli Di sicurezza desiderati Review Comunicazione e committment
48.
49. Rispetto delle leggi Il crescente interesse di istituzioni e consumatori per gli argomenti della protezione delle salute, la privacy, la minimizzazione dell’impatto ambientale, la responsabilità sociale degli attori economici, porta alla definizione di un insieme di regole, leggi e norme che rendono sempre più difficile al management ed all’imprenditore di essere certo del rispetto delle stesse da un lato e di dimostrare ai partners di business che la propria azienda si trova in condizioni di conformità e quindi non corre il rischio di subire sanzioni o addirittura di correre il rischi che i suoi processi vengano interrotti dall’autorità, o che subisca danni economici talmente rilevanti da trovarsi in difficoltà ad evadere gli ordini, interrompendo così la catena del valore di cui fanno parte. Per ovviare a questa situazione, che vede implicazioni di carattere tecnico, legale, organizzativo, operativo, in campi diversi e che necessitano la più diverse professionalità, si può ovviare soltanto garantendo un presidio unico organizzativo, una centrale operativa di gestione dei rischi, con funzioni di project management , nella fase di raggiungimento dei requisiti stabiliti dalle leggi, norme e convenzioni, e di presidio nella fase di gestione ordinaria e di continuo miglioramento. In questo modo, l’unità organizzativa presidia i processi, delega agli specialisti opportuni le attività specifiche, monitorandone le prestazioni e minimizzando i costi, interfaccia gli enti di controllo, collaudo, sorveglianza e certificazione, traendo dalle relative evidenze pubbliche, iscrizioni agli albi e certificazioni , tutti i vantaggi in senso di pubblicità, garanzia ai Clienti e partners commerciali, garanzia alle istituzioni ed la pubblico in generale, necessarie a ottimizzare l’immagine di marca e suscitare la confidenza e fiducia (trust & Confidence) che sono alla base di ogni duratura attività economica di affari. IMPATTO AMBIENTALE ISO 14000:1996 Sicurezza catena alimentare HACCP Social acconutability SA 8000 Sicurezza Lavoro l.626- OSHAS 18.000 Privacy l.675
50. Obiettivi proposti A fronte di quanto esposto, proponiamo la definizione di una piattaforma organizzativa per la gestione dei rischi, operante su tre livelli: Al livello 1 viene demandata la gestione operativa delle procedure e dei processi di supporto, con opportuno staffing delle risorse necessarie alla gestione di processi selezionati. Ad esempio la qualità dei processi e la gestione della sicurezza informatica. Al livello 2, di carattere manageriale, viene demandata l’animazione manageriale dei processi , descritta nelle slides successive Al livello 3 corrisponde l’attività direzionale, richiesta dalle norme ISO 9001:2000, ISO9004:2000 e BS 7799 in relazione alle attività di riesame della direzione e management forum Gestione controllata della qualità Ottimizzazione sistemi e ottemperanza leggi Pianificazione del miglioramento Gestione dell’impatto ambientale Integrità, disponibilità, riservatezza delle informazioni Monitoraggio aspetti etici del business Verifica applicazione leggi, policies e/o standard
51.
52.
53.
54.
55.
56. Dal modello al sistema Dal sistema ai processi di gestione
57. Individuazione aree a rischio Individuazione Modello di riferimento Figure Organizzative del modello adattate su personale disponibile o esternalizzazione SISTEMA : Modello contestualizzato Avviamento processi, Info-formazione Gestione Modello---- Sistema ----- Processo Linee guida
58. “ Sistema” è un insieme di elementi integrati e interagenti, ordinati per conseguire una meta comune e tale che possa sempre distinguersi ciò che fa parte dell’insieme da ciò che gli è esterno. Un sistema organizzativo è composto da elementi che, messi in funzione, rendono possibile l’esecuzione di un processo. Modello---- Sistema ----- Processo
59. Il Sistema di gestione: comprende la struttura organizzativa, le attività di pianificazione, programmazione e controllo, le responsabilità, le risorse per sviluppare, attuare, conseguire, riesaminare e mantenere attiva una specifica politica aziendale. Modello---- Sistema ----- Processo
60.
61.
62. ORIENTAMENTO GENERALE Risorse e responsabilità Metodologie di controllo PUNTI CRITICI Auditing svolto da pers. interno e/o auditing effettuato da Ente Esterno Attività migliorative Direzione Organismo di controllo Gestione delle evidenze Responsabili Processi Monitoraggio Risultati Azioni di prevenzione e controllo ESEMPIO