Standard ISO per mitigare il rischio di eventi negativi straordinari
In questi giorni di coronavirus sembrerebbe fuori luogo parlare di standard ISO, ma ritengo opportuno segnalare che ne esistono due sicuramente interessanti, studiati per mettere le aziende nelle condizioni di affrontare nel miglior modo possibile situazioni “estreme” come quella attuale.
Il primo è lo standard ISO 22301:2019 (Security and resilience – Business Continuity Management Systems), che ha come obiettivo la business continuity, ed esattamente mettere le aziende nelle condizioni di essere pronte ad affrontare e gestire eventi, anche imprevisti e molto impattanti, al fine di consentire la continuità del business aziendale. Per affrontare le situazioni complesse e impreviste, la predetta norma prevede esplicitamente una business impact analysis, l’elaborazione di strategie per affrontare i rischi individuati, l’elaborazione di un preciso piano di business continuity, un’esercitazione pratica (che non vuol dire 1 ora di esercitazione) per applicare il piano e una valutazione dei risultati ottenuti.
Il secondo standard è la ISO 27001 (sistemi di gestione della sicurezza delle informazioni), che prevede, tra le altre cose, l’analisi delle minacce alla riservatezza, all’integrità e alla disponibilità delle informazioni aziendali. Alcune aziende adottando il sistema di gestione ISO 27001, hanno preso in considerazione alcune minacce catastrofiche (come ad esempio terremoti, inondazioni etc.;), per far fronte alle quali, hanno elaborato una business impact analysis e un piano di disaster recovery. Quindi l’implementazione di un sistema di gestione ISO 22301 oppure ISO 27001, consentirebbe di mettere gli imprenditori nelle condizioni di affrontare nel miglior modo possibile anche un evento così impattante e inaspettato come quello attuale, senza farsi cogliere totalmente impreparati e privi di misure idonee a fronteggiarlo.
Sicuramente, dopo il verificarsi di una situazione così estrema come quella del COVID-19, anche il rischio di pandemia d’ora in poi verrà preso in considerazione nell’analisi dei rischi, nel piano di disaster recovery, nella business impact analysis, nel piano di business continuity e nelle procedure aziendali, al fine di mitigare l’impatto negativo che la predetta pandemia potrebbe avere sull’attività aziendale.
Pertanto, si può concludere che, la ISO 22301 e la ISO 27001 sono in grado di consentire alle aziende di affrontare situazioni complesse ed estreme, ma bisogna anche evidenziare che si tratta di due standard impegnativi da applicare, sia dal punto di vista economico che dal punto di vista organizzativo, ma sicuramente “il gioco vale la candela”.
Ha maturato oltre 15 anni di esperienza lavorativa nel settore della consulenza per la progettazione, realizzazione e manutenzione dei sistemi di gestione per la qualità (ISO 9001), dei sistemi di sicurezza delle informazioni (ISO 27001) e dei sistemi di business continuity (ISO22301). Svolge anche il ruolo di auditor di seconda e terza parte per i predetti schemi. Inoltre, ha maturato una notevole esperienza nell’adeguamento delle aziende al Regolamento Europeo 2016/679 (GDPR). Collabora con alcune delle più importanti società di consulenza italiane e internazionali, università e business school. Da 7 anni ha fondato la propria società di consulenza, Newconsulting Srl, con sede a Parma.