(Finalmente) arrivati nella società dell'informazione?

Con l'importante revisione del settembre 2015, l'ISO 9001 ha finalmente fatto il salto nella società dell'informazione, o ci è addirittura arrivata? Uno sguardo ai cambiamenti in questo senso rispetto alla versione precedente rivela che molto è effettivamente successo. Prima di tutto, c'è la nuova High Level Structure (HLS), ora chiamata anche "struttura di base". Oltre a una struttura completamente nuova, ha anche introdotto nuovi requisiti, in parte sotto forma di nuovi capitoli, nella ISO 9001, compreso il tema della "conoscenza dell'organizzazione".

Tuttavia, l'HLS non è completamente nuovo. È stato già utilizzato in ISO/IEC 27001, tra gli altri, nel 2013. Questo standard è usato come base adeguata per un efficace sistema di gestione della sicurezza delle informazioni (ISMS). Questo requisito si applica ad ogni organizzazione che vuole, e deve assolutamente, proteggere i suoi dati, le sue informazioni (documentate), cioè la sua conoscenza e quella dei suoi clienti.

Un approccio basato sul rischio attraversa ora tutti i capitoli come un filo comune, anche se senza richiedere un processo di gestione del rischio separato. Collegato a questo in qualche modo, e strettamente connesso dal punto di vista dello standard, è il requisito onnipresente di identificare le "opportunità" per l'organizzazione. Per togliere un po' di odore di lotteria da questa materia elementare, sarebbe stato meglio tradurre questo con "opportunità" (opportuni-ties) secondo il testo originale inglese.

Il nuovo standard, alla fine, dà ai suoi utenti un grado di libertà significativamente più alto nell'implementazione di molti requisiti - la revisione come un'opportunità! Per esempio, anche nella questione di come affrontare i requisiti relativi alla conoscenza dell'organizzazione e la relativa documentazione delle informazioni.

Conoscenza dell'organizzazione - una risorsa centrale
Nel capitolo 7.6.1, il nuovo standard dichiara nella nota I cosa intende per "conoscenza organizzativa": "La conoscenza organizzativa è la conoscenza che è specifica dell'organizzazione; è generalmente acquisita attraverso l'esperienza. Sono informazioni che vengono applicate e scambiate al fine di raggiungere gli obiettivi dell'organizzazione". Il capitolo sulla gestione della conoscenza organizzativa è completamente nuovo nella ISO 9001. I requisiti a questo riguardo sono intesi sia a prevenire la perdita di conoscenza (che può avvenire, per esempio, attraverso la rotazione del personale o attraverso fallimenti nel trasferimento della conoscenza) sia a motivare l'acquisizione di conoscenza (per esempio attraverso l'esperienza, lo scambio, la consultazione o il benchmarking). Tuttavia, non è necessaria una gestione sistematica e strutturata della conoscenza. La conoscenza dell'organizzazione è in ogni caso una risorsa centrale, indipendentemente dal fatto che sia gestita da un processo separato o meno!

Cos'è l'informazione comunque?
Ciò che all'inizio sembra essere una raccolta apparentemente casuale di dati individuali diventa informazione quando a questi dati viene dato un certo significato, per esempio attraverso una certa disposizione, un'aggiunta o l'integrazione in un contesto. Nel migliore dei casi, l'informazione risultante porta una conoscenza significativa su cose, circostanze o persone. Può essere una risorsa inestimabile per un'organizzazione - ma solo se il suo contenuto è effettivamente utile all'organizzazione! Visto in questo modo, le informazioni sono dati di valore - il valore è deciso dall'organizzazione. La disponibilità delle informazioni, la loro integrità e affidabilità devono essere garantite, indipendentemente dall'uso che se ne può fare in dettaglio. La sicurezza delle informazioni è particolarmente importante in questo senso. E mai prima d'ora la richiesta di standard di sicurezza per la trasmissione e l'immagazzinamento di dati e informazioni è stata così alta come nella società dell'informazione di oggi.

Quali conoscenze sono rilevanti per essere classificate come informazioni documentate? La norma afferma che il sistema di gestione della qualità deve contenere esattamente le informazioni documentate che l'organizzazione ha determinato essere necessarie perché questo sistema sia efficace. Questo dipende dalla situazione specifica che caratterizza un'organizzazione: a quale settore appartiene, quanto è grande, quali parti interessate hanno quali aspettative, quanto sono complessi i suoi processi, quanto è sviluppata la competenza dei suoi dipendenti, ecc. Il nuovo standard si concentra quindi fortemente sul valore dell'informazione (Figura 1).

Informazioni documentate - conoscenza più competenza più consapevolezza
Cosa c'è dietro il nuovo termine? Un approccio affascinante riassume l'idea nel modo più succinto possibile, includendo i titoli dei quattro capitoli della norma: conoscenza + competenza + consapevolezza = informazione documentata. "Informazioni" come termine isolato, d'altra parte, non contiene alcun requisito che queste informazioni siano documentate. In queste situazioni, spetta all'organizzazione decidere se è necessario o appropriato mantenere informazioni documentate. Questo, a sua volta, dipende dal valore che queste informazioni rappresentano per l'organizzazione!

Il capitolo 7.5 fornisce un esempio dei gradi di libertà concessi dal nuovo standard. Nella versione 2008 della ISO 9001, basata sul capitolo 4.2.1, per esempio, sono ancora richieste almeno sei "procedure documentate" e - classicamente - la manutenzione di un manuale QM. Entrambi i requisiti sono stati eliminati con la revisione. Allo stesso tempo, il requisito della documentazione è stato mantenuto in molti capitoli.

Tuttavia, sia la visione dell'argomento che la terminologia sono cambiate. Quelle che una volta erano procedure, documenti e registrazioni sono ora riunite in "informazioni documentate". Il termine è usato per tutti i documenti e le prove richieste nello standard. Secondo l'allegato della ISO 9001:2015, non è obbligatorio utilizzare la struttura e la terminologia della norma nell'organizzazione. Piuttosto, si dovrebbe scegliere il termine più adatto all'organizzazione.

Gettare i vecchi requisiti in mare con la carta
Una grande opportunità sta nel fatto che lo standard ora si adatta più fortemente alle possibilità della moderna tecnologia di comunicazione e si concentra maggiormente sulle preoccupazioni specifiche dell'azienda. Ogni organizzazione decide da sola quali informazioni sono importanti per la gestione della qualità e il raggiungimento degli obiettivi organizzativi e quali no. L'organizzazione sceglie anche liberamente il tipo, la portata e il luogo della documentazione delle sue informazioni, compresa l'archiviazione dei rispettivi dati, a propria discrezione e necessità. Tutto questo offre la possibilità di guardare il tema della documentazione da una nuova prospettiva. Per le organizzazioni, il nuovo standard potrebbe essere l'impulso per sbarazzarsi della carta che porta ancora i requisiti di controllo e documentazione dello scorso millennio.

Tuttavia, tutto ciò non significa che un'organizzazione non sia più "autorizzata" a tenere un manuale di MQ. La documentazione delle informazioni in un classico manuale QM può avere senso per varie ragioni, ad esempio per una facile diffusione a parti interessate esterne. Tuttavia, se queste ragioni non esistono - e questo può essere il caso nel mondo degli affari di oggi - si pone la domanda se questo non significhi che si perde l'una o l'altra opportunità che l'applicazione del software moderno, ad esempio nell'hardware mobile, ha da offrire; uno smartphone o un altro supporto dati può certamente essere usato per l'archiviazione, che aumenta enormemente la disponibilità e la flessibilità a seconda della situazione. L'informazione documentata può essere una registrazione sonora o un video e non solo la classica carta. Una possibile limitazione: la sicurezza delle informazioni documentate diminuisce all'aumentare del grado di disponibilità - ma solo se non si prendono misure appropriate per metterle al sicuro.

Trattamento delle informazioni documentate
Il capitolo 7.5.2 formula i requisiti per la creazione, il mantenimento e l'aggiornamento delle informazioni documentate. Devono essere presi in considerazione almeno tre aspetti, per cui la norma pone l'accento sull'adeguatezza e sull'idoneità (parziale sovrapposizione con il controllo delle informazioni documentate, vedi lì):

• Etichettatura e descrizione → recupero rapido delle informazioni documentate e loro assegnazione affidabile;
• Memorizzazione: formato e supporto → evitare discontinuità dei supporti, versioni diverse (controllo delle versioni), ridondanze, rilettura dopo la memorizzazione, conservazione della leggibilità;
• Revisione e approvazione → Evitare un'eccessiva regolamentazione. Il principio rigido di "creatore-elaboratore-revisore-rivenditore" non è sempre appropriato. Potrebbe quindi anche essere possibile e sensato far approvare il lavoro dal creatore, per esempio nel caso di semplici istruzioni di lavoro molto frequenti in aree non sensibili.

Se lo standard richiede che le informazioni siano mantenute, devono essere aggiornate se necessario ed essere disponibili in ogni momento; in questo contesto, non si può escludere che sia necessario conservare versioni più vecchie, eventualmente per documentare uno stato precedente. Nella versione 2008 di ISO 9001, questi erano documenti con uno stato predefinito. Se è richiesta solo una conservazione, per esempio come prova della competenza dei dipendenti, l'informazione deve essere conservata e disponibile, che prima era chiamata documento con carattere di prova. Il termine "periodo di conservazione" non è più utilizzato dalla norma. La lunghezza del tempo per cui le informazioni documentate sono (dovrebbero o devono essere) conservate è determinata dall'organizzazione stessa a seconda del contenuto delle informazioni documentate, preferibilmente con l'assistenza di un esperto legale. (Grafico 2).

Controllo delle informazioni documentate
Il capitolo 7.5.3 contiene i requisiti per la gestione delle informazioni documentate. La sua gestione è necessaria per renderla disponibile. A prima vista, poco è cambiato rispetto alla versione 2008 (capitolo 4.2.3 / 4.2.4). Tuttavia, con l'uso dei moderni mezzi di comunicazione per gestire le informazioni documentate, emergono aspetti completamente nuovi. Le domande possibili sono: Quali informazioni documentate devono essere gestite a quale livello di comunicazione con quale mezzo di comunicazione e come e dove devono essere conservate? Che dire della disponibilità nel luogo e nel momento del bisogno, dell'integrità (autenticità), della confidenzialità e della sicurezza delle informazioni documentate (informazioni interne ed esterne contrassegnate come tali)?

Proteggere efficacemente le informazioni documentate
A questo punto, al più tardi, la sicurezza delle informazioni (standard ISO/IEC 27001:2013) di cui sopra entra di nuovo in gioco. Sebbene la ISO 9001:2015 richieda la disponibilità, l'integrità e la riservatezza delle informazioni documentate, così come la protezione contro l'accesso non autorizzato, ecc., non fornisce alle organizzazioni gli strumenti di gestione e le procedure tecniche e organizzative necessarie a questo scopo - o non richiede esplicitamente il loro uso.

La necessaria fiducia nella sicurezza dei dati o delle informazioni documentate è particolarmente importante per quanto riguarda le aspettative delle parti interessate di un'organizzazione. ISO/IEC 27001 si basa su un processo di gestione del rischio che attraversa l'intera struttura organizzativa e inizia con la progettazione di processi e sistemi. Soprattutto quando i moderni mezzi di comunicazione come la posta elettronica, i social media o le soluzioni cloud ecc. costituiscono la base per le informazioni documentate (che è ormai lo standard in alcune industrie), tale procedura è la prima scelta.

Questo include, soprattutto, l'aspetto della "consapevolezza tra i dipendenti". Ogni soluzione tecnica o organizzativa può essere buona come lo è: Se le persone non sono consapevoli delle possibili conseguenze (il rischio) delle loro azioni, è molto improbabile che agiscano correttamente in termini di protezione. Un altro punto importante è che, come già menzionato sopra, lo standard è anche basato sull'HLS - i due standard si completano quindi perfettamente in un sistema di gestione!

Il valore delle informazioni è in primo piano
In sintesi, si può dire che la ISO 9001:2015 mette in primo piano il valore dell'informazione per il sistema di gestione o l'organizzazione quando si decide la sua documentazione. Come si può vedere dalla nota nel capitolo 7.5.1, la determinazione dell'ambito necessario si basa anche su questo. Un altro aspetto importante è il termine "appropriatezza". L'informazione è un valore (organizzativo) significativo; la società dell'informazione ci fornisce enormi quantità di dati ogni giorno - ma non tutti hanno valore - è proprio qui che entra in gioco il principio di appropriatezza.

Ciò che è considerato appropriato in termini di portata e contenuto è determinato dall'organizzazione stessa, ma si basa su vari fattori. Per esempio, la portata della documentazione dipende dalla competenza del personale impiegato. Altri fattori sono:

• Strategia e obiettivi dell'organizzazione
• Portata del sistema di gestione
• aspettative rilevanti delle parti interessate
• processi richiesti/necessari e la loro complessità
• Rischi e opportunità rispetto ai processi richiesti
• tecnologia in uso
• Offerta di prodotti/servizi
• Rischi e opportunità riguardo ai prodotti/servizi
• Requisiti di conformità

La richiesta di informazioni documentate - un'opportunità
È chiaro che il più alto grado di libertà offre più opportunità di prendere in considerazione le preoccupazioni specifiche dell'azienda e di evitare o ridurre l'eccessiva regolamentazione. Allo stesso tempo, questo significa una maggiore accettazione da parte dell'effettivo gruppo di destinazione delle informazioni documentate - e non sono certo i revisori! Le aziende hanno il compito di decidere da sole quali informazioni sono rilevanti per il sistema di gestione e in che misura e su quale supporto dati devono essere memorizzate. E devono assicurare che la risorsa "conoscenza dell'organizzazione" sia protetta.

Le opportunità che sorgono dall'implementazione appropriata dei nuovi requisiti sono il guadagno effettivo della revisione. A questo proposito, alla domanda posta all'inizio, se la ISO 9001 nella sua nuova versione sia arrivata (finalmente) nella società dell'informazione, si può rispondere solo con un sonoro sì! E la cosa buona è: un trasferimento degli argomenti ISO 9001 alle informazioni documentate è - se l'insieme di regole sottostanti lo permette - anche possibile a qualsiasi altro sistema di gestione.
possibile.