Consulenza per la certificazione dei sistemi di gestione Iso 9001

Sistemi di gestione per la qualità (Norma UNI EN ISO 9001) Zeta Qualità e Sinergie, è apprezzata soprattutto per l’approccio organizzativo dei progetti e per la rilevanza che dà alla formazione ed al coinvolgimento delle persone, quale punto di forza per una corretta ed efficiente implementazione del Sistema Qualità. Per questo motivo è riconosciuta e qualificata in settori in cui la componente umana ed organizzativa sono i fattori critici di successo. Gli interventi di consulenza finalizzati a preparare un’azienda alla Certificazione secondo ISO 9001 prevedono le seguenti attività: 1.         Formalizzazione, in stretta collaborazione con il Vostro personale, dei documenti richiesti dalla norma ISO 9001:2008, ossia:

  • Manuale di Gestione della Qualità;
  • Procedure Operative Interne ed eventuali Istruzioni di Lavoro;
  •  modulistica relativa.

2.         Formazione:

  • del Responsabile Gestione della Qualità sulle modalità per la corretta gestione, aggiornamento ed implementazione del Sistema di gestione per la Qualità e sui criteri per la conduzione degli audit interni;
  • dei Responsabili di Funzione sui principi base, i metodi e l’utilizzo dei documenti e della modulistica relativi al Sistema di gestione per la Qualità istituito.

3.         Assistenza attraverso:

  • indicazioni per la scelta dell’Ente di certificazione;
  • assistenza telefonica da parte del Consulente e/o del nostro Ufficio Tecnico, per eventuali chiarimenti o quesiti

Sviluppo operativo del progetto di consulenza Fatta salva la necessità di personalizzare e adeguare la pianificazione dei nostri interventi di consulenza alla specifica realtà dell’azienda cliente, tipicamente i contenuti del nostro intervento presso l’azienda sono i seguenti.   Avviamento dell’intervento L’avviamento dell’intervento costituisce una fase molto importante del lavoro, all’interno della quale desideriamo venga coinvolta la Direzione Generale dell’azienda. Non a caso, durante le prime ore di intervento il nostro Consulente condurrà una riunione con la Direzione Generale per cominciare ad impostare il necessario legame tra obiettivi aziendali e normativa ISO 9001. In questa prima fase è essenziale stabilire gli scostamenti dell’azienda rispetto alle norme ISO e al Sistema di gestione per la Qualità in senso generale, per evidenziare più facilmente i nodi critici da superare attraverso le opportune linee di intervento. Mappatura dei processi In linea con l’approccio richiesto dalla norma, individueremo i processi aziendali rilevanti, la gestione e le interazioni degli stessi al fine di effettuarne la cosiddetta “mappatura”. Le fasi previste sono le seguenti:

  • identificazione delle variabili di input
  • identificazione del flusso operativo di processo
  • identificazione delle variabili di output
  • identificazione delle interfacce critiche con il cliente, interno ed esterno

Tale approccio, sulla base di misurazioni oggettive, valuta i processi in termini di valore aggiunto per il conseguimento del miglioramento continuo. Obiettivi e indicatori di misura della qualità e delle prestazioni dei processi Coerentemente con i processi individuati la Direzione, insieme al nostro consulente, individuerà gli obiettivi della qualità, di processo e/o di singola funzione e i relativi indicatori che consentiranno all’azienda di perseguire miglioramenti efficienziali e di prestazioni, sia all’interno che verso il mercato / cliente. In ragione di ciò si procede con la scelta e definizione degli obiettivi aziendali per la qualità e degli indicatori di misura e controllo di tali obiettivi. Inoltre il titolare (Amministratore, Direttore Generale) sarà formato in modo specifico attraverso un corso di formazione relativo a questi argomenti, che si tiene presso la nostra sede. Individuazione dei ruoli di responsabilità nell’organigramma Dopo la definizione della politica della Qualità e dei processi, si procede individuando, all’interno dell’organigramma aziendale, i responsabili ai quali assegnare con chiarezza le responsabilità legate al Sistema di gestione per la Qualità. In particolare s’individua e si nomina il Responsabile di Gestione per la Qualità e si procede alla sua formazione iniziale sul Sistema Qualità e sulle modalità per la sua corretta gestione. Inoltre lo stesso parteciperà a un corso presso i nostri uffici sulle modalità di conduzione degli audit interni. Elaborazione del manuale gestione qualità e delle procedure operative Una volta stabiliti gli obiettivi insieme agli indicatori di misura e disegnata in modo coerente la struttura organizzativa aziendale in relazione al Sistema Qualità, verrà avviata l’elaborazione del Manuale di Gestione per la Qualità. Le attività che dovranno essere svolte al proposito verranno individuate insieme al nostro Consulente, dando opportuna precedenza agli eventuali nodi critici. Quando l’avanzamento lavori lo renderà opportuno il Consulente consegna una bozza del M.G.Q. elaborate e delle Procedure Operative Interne (P.O.I.) ad esso collegate per consentire una rilettura ed una verifica, che potrà essere effettuata prima della stesura definitiva del Manuale Gestione Qualità. Sarà lo stesso Consulente che provvederà alla necessaria e tempestiva formazione dei responsabili di funzione coinvolti in ciascuna procedura formalizzata secondo le norme ISO 9001, e al chiarimento e risoluzione degli eventuali dubbi emersi in proposito. Successivamente sarà attivata la domanda di Certificazione presso un Ente accreditato. Anche durante tale fase l’azienda cliente può contare sull’assistenza diretta del nostro Consulente e del nostro Ufficio Tecnico. Sistemi di gestione ambientale (Norma UNI EN ISO 14001) Gli interventi di consulenza finalizzati a preparare un’azienda alla Certificazione secondo la Norma ISO 14001 prevedono le seguenti attività: 1.         Formalizzazione, in stretta collaborazione con il Vostro personale, della documentazione del Sistema di gestione Ambientale richiesta dalla norma UNI EN ISO 14001, ossia:

  • Anali Ambientale Iniziale
  • Manuale di Gestione Ambientale;
  • Procedure Gestionali ed eventuali istruzioni operative;
  • modulistica per la registrazione dei dati.

2.         Formazione:

  • del personale in merito alle conoscenze sul sistema ambientale generali;
  • del personale con responsabilità ambientali sulle conoscenze specifiche;
  • degli auditor interni del Sistema di Gestione Ambientale sulla conduzione delle verifiche di conformità ai requisiti della Norma.

3.         Assistenza attraverso:

  • un audit di verifica del Sistema di Gestione Ambientale istituito e della sua corretta ed effettiva applicazione;
  • indicazioni per la scelta dell’Ente di certificazione;
  • assistenza durante la visita dell’Ente.

Sviluppo operativo del progetto di consulenza Fatta salva la necessità di personalizzare e adeguare la pianificazione dei nostri interventi di consulenza alla specifica realtà dell’azienda cliente, tipicamente i contenuti del nostro intervento presso l’azienda sono i seguenti. Avviamento dell’intervento L’avviamento dell’intervento costituisce una fase molto importante del lavoro, all’interno della quale desideriamo che venga coinvolta la Direzione Generale dell’azienda. Non a caso, durante le prime ore di intervento il nostro Consulente condurrà una riunione con la Direzione Generale per cominciare ad impostare il necessario legame tra obiettivi aziendali per l’ambiente e normativa UNI EN ISO 14001; inoltre verrà effettuata una visita del sito al fine di poter individuare gli aspetti ambientali che potrebbero essere fonte di impatto diretto/indiretto sull’ambiente Analisi ambientale iniziale Il Consulente, in collaborazione con la Direzione e il Responsabile di Gestione Ambientale, al fine di individuare gli aspetti ambientali significativi (un aspetto ambientale è significativo in quanto risulta in grado di provocare una modificazione significativa dell’ambiente, sia negativa che benefica) effettua un’accurata analisi ambientale iniziale suddivisibile nelle seguenti fasi:

  • definizione dello scenario ambientale
  • mappa dei processi aziendali
  •  identificazione e misura degli aspetti ambientali
  • valutazione della significatività degli aspetti ambientali
  •  registro degli impatti ambientali.

Politica ambientale e obiettivi del sito E’ d’importanza fondamentale che la Direzione stabilisca una politica adeguata agli effetti ambientali della Sua attività così come sopra individuati. Oltre alla politica dovranno essere stabiliti gli obiettivi e i traguardi da raggiungere che possano essere quantificati e soggetti a periodico riesame. Programma ambientale, struttura e responsabilità Dopo la definizione della politica della Gestione Ambientale si procede individuando, all’interno dell’organigramma aziendale, le risorse ed i tempi ai quali assegnare con chiarezza le attività legate al Sistema di Gestione Ambientale. Elaborazione dei documenti del sistema di gestione ambientale Una volta stabiliti gli obiettivi insieme agli indicatori di misura e disegnata in modo coerente la struttura organizzativa aziendale in relazione al Sistema di Gestione Ambientale, verrà avviata l’elaborazione del Manuale di Gestione Ambientale. Le attività che dovranno essere svolte al proposito verranno individuate insieme al nostro Consulente, dando opportuna precedenza agli eventuali nodi critici. Quando l’avanzamento lavori lo renderà opportuno il Consulente consegnerà una bozza del Manuale di Gestione Ambientale elaborate e delle Procedure Operative Interne (P.O.I.) ad esso collegate per consentire una rilettura ed una verifica, che potrà essere effettuata prima della stesura definitiva dei documenti. Sarà lo stesso Consulente che provvederà alla necessaria e tempestiva formazione dei responsabili di funzione coinvolti in ciascuna procedura formalizzata secondo le norme ISO 14001 e al chiarimento e risoluzione degli eventuali dubbi emersi in proposito. Successivamente sarà attivata la domanda di Certificazione presso un Ente accreditato. Anche durante tale fase l’azienda cliente può contare sull’assistenza diretta del nostro Consulente e del nostro Ufficio Tecnico. Sistemi di gestione per la sicurezza (STANDARD OHSAS 18001) Un Sistema di Gestione per la Sicurezza dà garanzia a proprietà e management di fornire all’organizzazione un approccio strutturato nei confronti dei temi della sicurezza, che preveda il raggiungimento di determinate prestazioni ed obiettivi attraverso l’esecuzione di compiti specifici che ogni persona conosce ed applica Il sistema di gestione per la sicurezza conforme allo standard OHSAS 18001 consente di soddisfare le prescrizioni dell’art. 30 del D. Lgs. 81/2008 (che richiede sia adottato un modello di organizzazione e gestione ex D.Lgs. 231 per gli aspetti di sicurezza). L’attuazione di un sistema di gestione per la sicurezza rende infine possibile ottenere benefici economici permanenti mediante la riduzione dei premi assicurativi INAIL. La struttura dello Standard OHSAS 18001 è basata sulla metodologia PDCA:

  • PLAN: Definizione e pianificazione degli obiettivi
  • DO: Implementazione dei processi
  • CHECK: Misure dei processi rispetto al raggiungimento degli obiettivi
  • ACT: Attuazione delle azioni volte al miglioramento

Conseguentemente i requisiti della norma sono suddivisi nei seguenti capitoli:

  • Requisiti generali
  • Politica del sistema di gestione sicurezza
  • Pianificazione
  • Attuazione e funzionamento
  • Verifica
  • Riesame

Le fasi dell’intervento di consulenza si articolano coerentemente alla struttura dei requisiti. Sviluppo operativo del progetto di consulenza Analisi iniziale Prevede lo svolgimento delle seguenti attività:

  • esecuzione della verifica di conformità legislativa (è obbligatorio dare evidenza di aver verificato la conformità dei processi dell’organizzazione a tutte le leggi ed i regolamenti applicabili)
  • raccolta dati e informazioni sui processi dell’azienda e sulle prassi esistenti riferite alla sicurezza
  • verifica dei documenti di valutazione dei rischio esistenti
  • identificazione delle leggi e dei regolamenti applicabili
  • analisi degli indicatori raccolti e dei dati storici relativi ad infortuni o malattie professionali
  • analisi dell’interazione con gli altri sistemi di gestione
  • raccolta dati sulla partecipazione e coinvolgimento dei lavoratori e degli altri stakeholders

Politica e pianificazione Prevede il supporto per la definizione delle regole e lo sviluppo dei documenti (manuale Sicurezza, Procedure, modulistica e altri form) riferiti ai seguenti argomenti:

  • politica per la sicurezza e sua divulgazione
  • programmazione, gestione, monitoraggio e deployment degli obiettivi
  • organizzazione per la sicurezza, compiti responsabilità e deleghe
  • individuazione e gestione degli indicatori
  • aggiornamento e diffusione degli aggiornamenti riferiti alle prescrizioni di legge

Attuazione e funzionamento Prevede il supporto per la definizione delle regole e lo sviluppo dei documenti (manuale Sicurezza, Procedure, modulistica e altri form) riferiti ai seguenti argomenti:

  • controllo operativo e valutazione del rischio
  • gestione di tutte le misure di prevenzione e protezione riferite a tutti i requisiti di legge (DPI, DUVRI, attività di cantiere, sostanze pericolose etc.)
  • risorse umane, mansioni, competenze, coinvolgimento, consapevolezza, formazione
  • sistema disciplinare interno
  • gestione della comunicazione (interna, esterna)
  • documentazione e registrazioni
  • gestione emergenze
  • gestione degli “accident” (incidenti, quasi-incidenti) e degli infortuni
  • gestione delle non conformità
  • analisi delle cause e definizione delle azioni correttive e preventive
  • verifiche ispettive interne

Audit Dopo un periodo, nel quale le regole concordate devono essere completamente recepite dall’Azienda, effettueremo un audit sull’intera organizzazione ai fini di valutare l’allineamento con la norma e preparare l’organizzazione alla visita dell’Organismo di Certificazione. L’audit sarà effettuato da un “Safety Assessor” qualificato. Riesame A seguito dei risultati dell’audit verrà dato supporto alla Direzione per l’esecuzione del Riesame sul sistema di gestione sicurezza. Gli obiettivi del riesame sono:

  • verificare il livello di raggiungimento degli obiettivi
  • verificare l’idoneità del sistema
  • verificare i risultati degli audit
  • analizzare gli indicatori e definire i nuovi obiettivi

Audit di certificazione I nostri Consulenti sono in grado di fornire assistenza al personale dell’Azienda durante la visita di certificazione che sarà effettuata, secondo le tempistiche definte dall’Organismo di Certificazione, coerentemente con le indicazioni del RT 12 del SINCERT “Prescrizioni per l’accreditamento degli Organismi di Certificazione operanti la certificazione dei sistemi di gestione per la salute e la sicurezza dei lavoratori”. Sistemi di gestione per la sicurezza delle informazioni (STANDARD ISO/IEC 27001) La norma internazionale ISO 27001 è uno standard rivolto a ogni tipo di organizzazione e fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), in particolare degli aspetti della sicurezza fisica, logica e organizzativa. Essa fornisce una serie d’indicazioni per costituire una base all’implementazione di un sistema organizzativo orientato alla sicurezza, ossia al complesso di procedure attuato dall’organizzazione per governare e garantire, nel tempo, il soddisfacimento della politica di sicurezza delle informazioni approvata dalla Direzione di un’Azienda. Sviluppo operativo del progetto di consulenza Gli interventi di consulenza per l’implementazione di un sistema di gestione per la sicurezza delle informazioni, prevedono le seguenti attività: 1. Politica della sicurezza delle informazioni e Analisi dei Rischi: –       Definizione specifica del campo di applicazione e della struttura del Sistema di Gestione della Sicurezza delle Informazioni (SGSI); –       Definizione e stesura della Politica per la sicurezza delle informazioni; –       Supporto all’effettuazione dell’Analisi dei rischi, per le seguenti attività:

  • §  definizione della metodologia
  • classificazione delle risorse e delle informazioni
  • identificazione delle minacce
  • identificazione delle vulnerabilità
  • §  identificazione del livello di rischio
  • §  individuazione delle contromisure (fisiche, logiche e organizzative)
  • piano di trattamento dei rischi e individuazione del livello di richio residuo accettabile;

–       Definizione e stesura della Dichiarazione di Applicabilità (Statement of Applicability). 2. Definizione e stesura delle procedure operative / istruzioni di lavoro adottate per applicare i controlli richiesti dalla Norma di riferimento, in particolare: –       Politica per la sicurezza delle informazioni; –       Organizzazione della sicurezza delle informazioni:

  • Organizzazione interna
  • Parti esterne;

–       Gestione dei beni:

  • Gestione dei beni
  • Classificazione delle informazioni;

–       Sicurezza delle risorse umane:

  • Prima dell’impiego
  • Durante l’impiego
  • Interruzione o variazione di impiego;

–       Sicurezza fisica e ambientale:

  • Aree sicure
  • Sicurezza della apparecchiature;

–       Gestione delle comunicazioni e dell’operatività:

  • Procedure operative e responsabilità
  • Gestione dell’erogazione di servizi di terze parti
  • Pianificazione e approvazione dei sistemi
  • Protezione contro software dannosi e codici auto eseguibili
  • Back-up
  • Gestione della sicurezza della rete
  • Trattamento dei supporti
  • Trasmissione delle informazioni
  • Servizi di commercio elettronico
  • Monitoraggio;

–       Controllo degli accessi:

  • Requisiti relativi al business per il controllo degli accessi
  • Gestione dell’accesso degli utenti
  • Responsabilità degli utenti
  • Controllo degli accessi alla rete
  • Controllo degli accessi al sistema informativo
  • Controllo degli accessi ad applicazioni e informazioni
  • Utilizzo di dispositivi portatili e telelavoro;

–       Acquisizione, sviluppo e manutenzione dei sistemi informativi:

  • Requisiti di sicurezza dei sistemi informativi
  • Corretta elaborazione nelle applicazioni
  • Controlli crittografici
  • Sicurezza dei file di sistema
  • Sicurezza nei processi di sviluppo e supporto
  • Gestione delle vulnerabilità tecniche;

–       Gestione degli incidenti relativi alla sicurezza delle informazioni:

  • Segnalazione degli eventi e dei punti di debolezza relativi alla sicurezza delle informazioni
  • Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti;

–       Gestione della continuità operativa:

  • Aspetti di sicurezza delle informazioni relativi alla gestione della continuità operativa;

–       Conformità:

  • Conformità alle prescrizioni legali
  • Conformità a politiche e norme di sicurezza e conformità tecnica
  • Audit sui sistemi informativi.

3. Definizione e stesura di politiche specifiche. 4. Definizione delle registrazioni necessarie e/o richieste dalla Norma di riferimento 5. Eventuale integrazione del Manuale qualità (nel caso di aziende già certificate ISO 9001) con le specifiche relative al SGSI.   6. Supporto alla formalizzazione delle attività necessarie al Riesame del SGSI da parte della Direzione e al miglioramento continuo dell’SGSI:

  • obiettivi per la sicurezza delle informazioni
  • verbale di riesame della Direzione
  • azioni correttive
  • azioni preventive.

7. Audit

  • Verifica, formalizzata secondo quanto richiesto dalla Norma di riferimento, della applicazione di quanto indicato nei documenti messi a punto (simulazione dell’audit dell’Ente di certificazione).

Sistemi di gestione dei servizi IT (STANDARD ISO/IEC 20000-1) Un Sistema di gestione Servizi IT assicura l’efficace funzionamento e fornitura dei servizi IT ai Clienti di un’Azienda. La Certificazione ISO 20000-1 è diventata un requisito aziendale di base. La Norma permette alle imprese che utilizzano lo standard di operare in linea con le migliori pratiche internazionali e ridurre al minimo i rischi di consegna. La ISO/IEC 20000 richiede la definizione di Service Level Agreement (SLA), come passo principale verso una appropriata relazione con il cliente/utente e considera questo documento il cardine attraverso il quale gestire sia internamente che esternamente, i servizi, senza dimenticare gli aspetti tecnici, finanziari e di sicurezza del servizio. La ISO/IEC 20000 costituisce inoltre un valido strumento per la riprogettazione dei processi di business e per l’ottimizzazione degli aspetti di gestione dei servizi per l’IT. I vantaggi di un sistema di gestione dei servizi IT sono i seguenti:

  • può essere elemento qualificante nel selezionare e gestire in modo più efficace i fornitori di servizi IT ed elemento distintivo per aggiudicarsi nuovi clienti;
  • garantisce l’applicazione dei principi universalmente riconosciuti come Best Practice (ad es. ITIL);
  • garantisce un approccio armonizzato con le eventuali certificazioni ottenute secondo le norme ISO 9001, ISO/IEC 27001 e BS 25999-2 e l’integrazione con tali sistemi di gestione trasforma questo standard in una straordinaria opportunità di razionalizzazione e miglioramento dei processi interni;
  • garantisce il controllo efficace ed il miglioramento continuo dell’intero complesso di prestazioni dell’IT service management;
  • promuove rapporti di fiducia con clienti, partner, enti pubblici, aziende di crediti ed azionisti;
  • promuove lo sviluppo delle relazioni tra le diverse divisioni aziendali, in ottica di cliente interno;
  • permette di migliorare, grazie agli audit interni e esterni, l’efficienza e l’efficacia dei servizi IT;
  • può ridurre il numero di audit di seconda parte subiti, ovvero effettuati dai propri clienti e quindi i costi.

Lo standard ISO/IEC 20000 è applicabile a organizzazioni di tutte le dimensioni e si compone di:

  • Parte 1: Specification (lo Standard vero e proprio); pubblicato come ISO/IEC 20000-1, contiene le specifiche (requisiti) per l’implementazione di un Sistema di Gestione per l’Erogazione dei Servizi IT;
  • Parte 2: Code of practice; pubblicato come ISO/IEC 20000-2, contiene linee guida e raccomandazioni utili per la corretta implementazione di quanto specificato nella parte 1.