Servizi
Certificazioni
ANCES, attraverso i propri partners,assiste anche in merito al rilascio di certificazioni come
ANCES – Associazione Nazionale Consulenti Esperti in Sicurezza, non svolge audit sui sistemi di gestione dei clienti che hanno ricevuto prestazioni di consulenza per il sistema di gestione o per gli audit interni, qualora la relazione fra l’organizzazione di consulenza e l’organismo di certificazione non garantisca l’imparzialità dell’organismo di certificazione stesso.
ISO 9001
Qualità
La ISO 9001 si rivolge a qualsiasi tipologia di organizzazione pubblica o privata, di qualsiasi settore e dimensione, manifatturiera o di servizi.
E’ lo standard di riferimento internazionalmente riconosciuto per la gestione della Qualità di qualsiasi organizzazione che intenda rispondere contemporaneamente:
- all’esigenza dell’aumento dell’efficacia ed efficienza dei processi interni –quale strumento di organizzazione per raggiungere i propri obiettivi-
- alla crescente competitività nei mercati attraverso il miglioramento della soddisfazione e della fidelizzazione dei clienti.
Scopo primario dell’ISO 9001 è il perseguimento della soddisfazione del proprio cliente in merito ai prodotti e serzizi forniti, nonché il miglioramento continuo delle prestazioni aziendali, permettendo all’azienda certificata di assicurare ai propri clienti il mantenimento e il miglioramento nel tempo della qualità dei propri beni e servizi.
Da questo punto di vista il modello ISO 9001 rappresenta uno strumento strategico in quanto mirato a:
- valutazione del contesto e parti interessate
- analisi di rischi ed opportunità come base per definire opportune azioni
- controllo dei costi,
- aumento della produttività
- riduzione degli sprechi.
Dal punto di vista sostanziale ciò si traduce nella riduzione del rischio di non rispettare quanto promesso ai clienti e nella capacità di tenere sotto controllo i processi tramite la misurazione delle prestazioni e l’individuazione di adeguati indicatori.
Inoltre viene spesso richiesta dai bandi di gara pubblici.
La ISO 9001 fornisce infine un modello organizzativo di base che può essere completato con dei requisiti specifici peculiari di alcuni ambiti, descritti in norme di settore, ed è facilmente integrabile con altri sistemi di gestione, ISO 14001 (gestione ambientale) e ISO 27001 (sicurezza delle informazioni).
Alcuni esempi di linee guide settoriali sono rappresentate da norme UNI rivolte a:
- Servizi all’infanzia,
- Assistenza residenziale agli anziani,
- Organizzazione congressuale e di eventi aggregativi,
- Servizi di call center, e così via.
ISO 14001
Sostenibilità Ambientale
La ISO 14001 è una norma internazionale ad adesione volontaria, applicabile a qualsiasi tipologia di Organizzazione pubblica o privata, che specifica i requisiti di un sistema di gestione ambientale.
Questa norma, oltre ad avere il pregio di essere facilmente integrabile con altri sistemi di gestione conformi a norme specifiche come ISO 9001.
PUNTI CHIAVE
Per definire il sistema di gestione conforme alla ISO 14001 è necessario:
- realizzare un’analisi ambientale, cioè raggiungere un’approfondita conoscenza degli aspetti ambientali (emissioni, uso risorse etc) che una organizzazione deve effettivamente gestire, capire il quadro legislativo e le prescrizioni applicabili all’azienda e valutare la significatività degli impatti;
- definire una Politica aziendale
- definire responsabilità specifiche in materia ambientale
- definire, applicare e mantenere attive le attività, le procedure e le registrazionipreviste dai requisiti della 14001
VANTAGGI
Un sistema di gestione ambientale certificato consente:
- Controllo e mantenimento della conformità legislativa e monitoraggio delle prestazioni ambientali.
- Riduzione degli sprechi (consumi idrici, risorse energetiche, ecc.).
- Agevolazioni nelle procedure di finanziamento e semplificazioni burocratiche/amministrative.
- Strumento di supporto nelle decisioni di investimento o di cambiamento tecnologico.
- Strumento di creazione e mantenimento del valore aziendale.
- Strumento di salvaguardia del patrimonio aziendale e di trasparenza in operazioni di acquisizioni/fusioni (gestione dei rischi).
- Garanzia di un approccio sistematico e preordinato alle emergenze ambientali.
- Migliore rapporto e comunicazione con le autorità.
- Miglioramento dell’immagine e della reputazione aziendale
- Attuazioni di modalità definite per la prevenzione dei reati ambientali
ISO 45001
Salute e Sicurezza sul Luogo di Lavoro
Dal 12 marzo 2018 è in vigore la nuova norma UNI ISO 45001: 2018 sui Sistemi di Gestione per la Salute e la Sicurezza sul Lavoro.
La UNI ISO 45001 specifica i requisiti per un sistema di gestione per la salute e sicurezza sul lavoro (SSL) e fornisce una guida per il suo utilizzo, al fine di consentire alle organizzazioni di predisporre luoghi di lavoro sicuri e salubri, prevenendo lesioni e malattie correlate al lavoro, nonché migliorando proattivamente le proprie prestazioni relative alla SSL.
La norma è applicabile a qualsiasi organizzazione, indipendentemente dalle dimensioni, tipo e attività, che desideri creare, attuare e mantenere un sistema di gestione per migliorare la salute e la sicurezza sul lavoro, eliminare i pericoli e minimizzare i rischi per la SSL.
La norma è stata sviluppata adottando il testo della struttura ad alto livello (High-Level Structure – HLS), comune ad altre norme ISO sui sistemi di gestione, come la UNI ISO 9001:2015 e la UNI ISO 14001:2015, con lo scopo di favorire l’integrazione tra le stesse.
La UNI ISO 45001 include un’appendice informativa nazionale contenente alcune note riguardanti la corretta collocazione della norma rispetto al quadro legislativo vigente (D.Lgs. 81/2008).
Principali novità
Nella messa a punto della nuova norma ISO 45001 l’attenzione è stata rivolta ad alcuni capisaldi:
- Costruzione della norma tenendo a riferimento la HLS Struttura di alto livello implementata per tutte le norme ISO aventi carattere gestionale
- Maggiore integrabilità con ISO 9001 e ISO 14001 in edizione 2015
- Attenzione al contesto e alla valutazione di rischi e opportunità
- Riferimento al business aziendale
- Coinvolgimento e sensibilizzazione di tutte le parti in gioco (management, operatori, parti interessate)
- Maggiore coinvolgimento e considerazione dei processi affidati in outsourcing
ISO 27001
Sicurezza delle informazioni
Lo standard ISO/IEC 27001 è l’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) ed è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.
In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.
La famiglia delle norme ISO 27000, ad oggi pubblicate, si può raggruppare nelle seguenti aree tematiche:
- Terminologia
- ISO/IEC 27000 – “Information technology — Security techniques — Information security management systems — Overview and vocabulary “
- Requisiti generali
- ISO/IEC 27001 – “Information security management system – Requirements”. È il documento normativo al quale un’organizzazione che intenda certificarsi deve far riferimento.
- ISO/IEC 27006 – “Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems “. È lo standard di riferimento per gli organismi di certificazione.
- Linee guida generali
- ISO/IEC 27002 – “Information technology — Security techniques — Code of practice for information security management”. Fornisce delle indicazioni non prescrittive per proteggere il patrimonio informativo di un’azienda
- ISO/IEC 27003 – “Information technology — Security techniques — Information security management system implementation guidance “. Fornisce le linee guida per definire un progetto di implementazione di un sistema di gestione della Sicurezza delle informazioni in conformità allo standard ISO 27001
- ISO/IEC 27004 – “Information technology — Security techniques — Information security management — Measurement “. Fornisce le modalità e gli esempi di costrutti per definire e misurare l’efficacia del Sistema di Gestione della Sicurezza delle Informazioni adottato dall’organizzazione e dei relativi controlli dell’Annex A
- ISO/IEC 27005 – “Information technology — Security techniques — Information security risk management “. Fornisce indicazioni sulle modalità e le fasi da adottare per una corretta valutazione del rischio aziendale, in particolare sul rischio inerente la sicurezza delle informazioni. Tale standard, nella versione 2011, è stato allineato con la norma ISO/IEC 31000 “Risk management — Principles and guidelines “
- ISO/IEC 27007 – “Information technology — Security techniques — Guidelines for information security management systems auditing”. E’ una linea guida per Organismi di Certificazione (OdC) accreditati, per internal auditors, auditors esterni/terza parte per verificare la conformità ai requisiti di un Sistema di Gestione della Sicurezza delle Informazioni secondo la norma ISO/IEC 27001
- ISO/ IEC TR 27008 – “Information technology — Security techniques — Guidelines for auditors on information security controls”. Supporta la pianificazione ed esecuzione degli audit SGSI aggiungendo ulteriore valore chiudendo il gap tra revisione del Sistema e, se necessario, implementando prove di verifica dei controlli previsti dall’annex A della ISO/IEC 27001.
- linee guida specifiche per settore
- ISO/IEC 27010 – “Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications”
- ISO/IEC 27011 – “Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 “
- ISO/IEC 27014 – “Information technology — Security techniques — Governance of information security”
- ISO/IEC 27013 – “Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 “
- ISO/IEC TR 27015 – “Information technology — Security techniques — Information security management guidelines for financial services”ISO/IEC 27031 – “Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity “
- ISO/IEC 27032 – “Information technology — Security techniques — Guidelines for cybersecurity”
- ISO/IEC 27033-1 – “Information technology — Security techniques — Network security — Part 1: Overview and concept”
- ISO/IEC 27033-2 – “ Information technology — Security techniques — Network security — Part 2: Guidelines for the design and implementation of network security
- ISO/IEC 27033-3 – “Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues”
- ISO/IEC 27034-1 – “Information technology — Security techniques — Application security — Part 1: Overview and concepts”
- ISO/IEC 27035 – “Information technology — Security techniques — Information security incident management”
- ISO/IEC 27036-3 – “Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security”
- ISO/IEC 27037 – “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence”
- ISO 27799 – “Health informatics — Information security management in health using ISO/IEC 27002″
ISO 20000
Servizi IT
Lo standard ISO 20000 promuove l’utilizzo di un modello integrato a processi di IT Service Management.
Nell’ambiente aziendale attuale, caratterizzato da forte dinamicità, la modalità di erogazione dei servizi è in continua evoluzione e presenta nuove opportunità e sfide per il business. Come fornitori di servizi, è importante assicurarsi che l’Organizzazione fornisca servizi efficienti rispetto agli obiettivi di business.
Le imprese di qualsiasi settore e dimensione possono contare su un’efficace gestione dei servizi abilitati dall’IT grazie allo standard internazionale ISO/IEC 20000.
In tal senso ISO 20000 costituisce lo strumento adeguato sia per la gestione dei servizi erogati ai clienti, sia per la gestione dei servizi informatici interni che necessitino di un livello di strutturazione consistente.
Lo standard promuove l’utilizzo di un modello integrato a processi di gestione dei servizi IT che trova corrispondenza nel framework ITIL® (IT Infrastructure Library). In tal senso familiarizzare con ITIL è fortemente consigliato alle organizzazioni che sono interessate a certificarsi ISO 20000 per dimostrare la conformità alle best practice di IT Service Management.
ISO 22301
Continuità Operativa
o standard ISO 22301 “Societal security – Business Continuity Management Systems – Requirements” è stato sviluppato per aiutare ogni tipo di organizzazione a ridurre al minimo il rischio di interruzioni.
PUNTI CHIAVE
Rispetto alla precedente norma BS25999 “Business Continuity Management”, lo standard ISO/IEC 22301pone l’attenzione ai seguenti aspetti:
- richiesta di una maggiore attenzione all’intera filiera produttiva
- analisi del rischio
- coinvolgimento del Top Management in tutte le fasi della BCM;
- identificazione del livello minimo accettabile di operatività in caso di disastro.
- migliore definizione della terminologia utilizzata.
VANTAGGI
La corretta implementazione di un sistema di gestione della continuità operativa consente all’organizzazione di rispondere in modo reattivo ed efficace a eventi catastrofici in modo tale da ridurre drasticamente il danno potenziale di tali eventi.
SA 8000
Certificazione Etica
- migliorare le condizioni del personale
- promuovere trattamenti etici ed equi del personale
- includere le convenzioni internazionali dei diritti umani
Lo standard SA 8000 è stato pubblicato la prima volta nel 1997 dal Council on Economic Priorities Accreditation Agency (CEPAA), oggi SAI (Social Accountability International); successive revisioni nel 2001, 2008 e l’ultima del 2014 (la cui transizione è terminata il 30 Giugno 2017).
IQNet ha la particolarità di essere non a scopo di lucro ed operare in accordo con un ben definito codice etico e comportamentale (IQNet Code of Conduct and Ethics), nel rispetto di un accordo multilaterale (IQNet Multilateral Agreement) ed attenendosi a proprie regole operative interne, che vengono periodicamente valutate a fronte di specifiche norme internazionali. IQNet ed i suoi partner sono i grado di offrire un servizio a livello internazionale, con 20 partner diffusi in tutto il mondio, più di 60 valutatori qualificati, e una potenziale copertura di 50 paesi.
Attraverso l’accordo con partner locali, il servizio di certificazione viene offerto con l’utilizzo di auditor locali, che parlano la stessa lingua dell’organizzazione richiedente e hanno competenze specifiche della legislazione/codici applicati nel paese dell’organizzazione richiedente.
ISO 50001
Sostenibilità Ambientale - Energia
La ISO 50001, recepita dall’UNI a fine 2011 (“Sistemi di gestione dell’energia – Requisiti e linee guida per l’uso”), offre alle organizzazioni di qualsiasi settore, sia private che pubbliche, delle strategie di gestione che hanno l’obiettivo di portare:
- un aumento dell’efficienza energetica,
- una riduzione dei costi
- un miglioramento delle prestazioni energetiche, che vanno pertanto integrate nella gestione delle attività quotidiane dell’organizzazione.
La norma infatti specifica come organizzare sistemi e processi finalizzati al miglioramento continuo dell’efficienza energetica con gli obiettivi primari di portare alle organizzazioni benefici economici derivanti dal minore consumo energetico e, anche alla collettività, la riduzione delle emissioni di gas serra.
Importanti progetti a livello europeo (specialmente nord-europeo) applicati in ambito industriale in un contesto di politica energetica nazionale di lungo periodo hanno confermato le potenzialità derivanti da una corretta ed efficace applicazione di un SGE con risparmi di energia che oscillano dal 5 al 15%.
SERVIZIO DI GAP ANALYSIS
L’Organizzazione, se lo ritiene utile, può richiedere una verifica di gap analysis rispetto alla conformità allo standard ISO 50001.
Gli obiettivi sono:
- individuare il contesto e le caratteristiche peculiari dell’Organizzazione;
- individuare il grado di preparazione dell’Organizzazione a sostenere l’iter di certificazione.
Al termine della gap analysis, verrà rilasciato un rapporto che non conterrà indicazioni relative al grado di conformità del sistema di gestione.
ISO 37001
Anti corruzione
La ISO 37001 è lo standard internazionale sviluppato allo scopo di supportare le imprese nell’adozione di un sistema di gestione volto ad affrontare e prevenire possibili casi corruzione e promuovere una cultura d’impresa etica.
La crescente consapevolezza dei danni causati dalla corruzione ha sollecitato la definizione, a livello internazionale e nazionale, di strategie ed azioni tese a ridurne il rischio e gli impatti, anche tenendo conto dell’utilità, a fronte della globalizzazione del crimine, di disporre di uno strumento normativo transazionale di contrasto alla corruzione.
Questo nuovo standard contribuisce a definire le modalità in base alle quali le organizzazioni potranno dichiararsi “compliance” rispetto alla prevenzione del fenomeno corruttivo, ovvero avere adottato misure di prevenzione ragionevoli e proporzionali al rischio di incorrere nella corruzione.
PUNTI CHIAVE
La ISO 37001 specifica le misure e i controlli anti corruzione adottabili da un’organizzazione per monitorare le proprie attività aziendali al fine di prevenire la corruzione.
Rientrano tra questi:
- Una politica per la prevenzione della corruzione, procedure e controlli;
- Comunicazione di tale politica e del relativo programma a tutte le parti interessate e/o associate;
- La leadership, l’impegno e la responsabilità;
- Una procedura di sorveglianza a livello senior;
- Formazione relativa alla prevenzione della corruzione;
- Valutazione dei rischi;
- Due diligence su progetti e colleghi di lavoro;
- Reporting, monitoraggio, indagine e riesame dell’Organo di governance;
- Richiesta di sottoscrivere un impegno per la prevenzione della corruzione ai propri associati;
- Implementare i controlli finanziari a ridurre i rischi di corruzione;
- Azioni correttive e di miglioramento continuo.
Lo standard rappresenta uno strumento flessibile che prevede un approccio sistemico alla prevenzione e al contrasto della corruzione, abbracciando la metodologia tipica del Plan – Do – Check – Act dei sistemi di gestione.
E’ impostato secondo la High Level Structure, applicato tra le altre anche per la nuova ISO 9001:2015 e ISO 14001:2015, ed è rivolto ad aziende di qualsiasi dimensione o natura, sia pubbliche che private; può essere integrato facilmente con gli altri sistemi di gestione e i suoi obiettivi possono essere inclusi nel piano di miglioramento continuo e, soprattutto, il rispetto della norma potrà essere oggetto di certificazione di parte terza.
Va sottolineato che, nell’ottica del sistema di gestione anticorruzione, il significato di “corruzione” va inteso in senso più ampio rispetto al corrispondente reato previsto dalle legislazioni cogenti, comprendendo tutte le condotte che, seppur formalmente lecite, si pongono come ostacolo rispetto al perseguimento delle finalità d’interesse generale cui sono preposte sia le organizzazioni pubbliche che, in molti casi, private (si pensi solo al vastissimo mondo del non profit, della cooperazione sociale, della sanità e dell’istruzione private, delle ditte private appaltatrici di pubblici servizi, delle organizzazioni non governative…).