Audit e certificazione di sistemi di gestione ambientale: pubblicata una nuova norma.

immagine_kit

Per svolgere al meglio l’attività di audit è necessario “seguire” dei requisiti fondamentali; requisiti che si differenziano e/o si adattano alla situazione da valutare. La normazione è particolarmente attenta in quest’ambito infatti è grazie alla commissione Valutazione della conformità che è stata da poco recepita la norma EN ISO/IEC 17021-2.

Questo documento definisce i requisiti di conoscenza aggiuntivi per il personale coinvolto nei processi di audit e di certificazione di sistemi di gestione ambientale – EMS – Environmental Management Systems – ed integra gli attuali requisiti della ISO/IEC 17021-1.

Gli organismi di certificazione sono responsabili verso le parti interessate, compresi i loro clienti ed i clienti delle organizzazioni i cui sistemi di gestione sono certificati, di assicurare che solo quegli auditor che dimostrano una competenza adeguata siano abilitati alla conduzione di audit di sistemi di gestione ambientale (EMS – Environmental Management System). Tutti gli auditor di EMS dovrebbero possedere le competenze generali descritte nella ISO/IEC 17021-1, così come le conoscenze specifiche relative ai EMS descritte nel presente documento.

Inoltre, gli organismi di certificazione sono chiamati ad identificare la competenza specifica del gruppo di audit richiesta dal campo di applicazione di ciascun audit di EMS. La selezione di un gruppo di audit di EMS è funzione di vari fattori, compresi l’area tecnica del EMS medesimo, il contesto dell’organizzazione, i relativi aspetti ambientali e il sito correlato a tali aspetti.

Sono inoltre descritti i requisiti di competenza per l’altro personale coinvolto nelle attività di certificazione.

Nel presente documento sono utilizzate le seguenti forme verbali:

“deve” indica un requisito;
“dovrebbe” indica una raccomandazione;
“può” indica un permesso (may), una possibilità o capacità (can).
All’interno della norma è citata la ISO/IEC 17021-1 Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements come riferimento normativo.

Per valutazione della conformità s’intende la “dimostrazione che requisiti specificati relativi ad un prodotto, processo, sistema, persona od organismo, sono soddisfatti”.

Annunci

Nuova norma gestione conoscenza

immagine_kit

 

La gestione della conoscenza è una disciplina focalizzata sui modi in cui le organizzazioni creano e utilizzano la conoscenza; non ha una definizione unica accettata e non vi sono norme globali antecedenti alla norma UNI ISO 30401 sui sistemi di gestione. Si deve alla commissione Responsabilità sociale delle organizzazioni l’adozione anche in lingua italiana della sopracitata norma internazionale.

L’intento di questo documento è quello di fissare dei principi e requisiti solidi di gestione della conoscenza:

a) come guida per organizzazioni che mirano ad essere competenti nell’ottimizzare il valore della conoscenza organizzativa;

b) come base per svolgere attività di audit, certificare, valutare e riconoscere tali organizzazioni competenti da parte di organismi di auditing interni ed esterni riconosciuti.

Esistono numerosi e ben noti ostacoli a una gestione della conoscenza di successo che occorre ancora superare, molta confusione con altre discipline quali la gestione delle informazioni, e molte idee errate su come effettuare la gestione della conoscenza, per esempio la convinzione che il semplice acquisto di un sistema tecnologico sia sufficiente a far sì che la gestione della conoscenza aggiunga valore.

Ciascuna organizzazione costruisce un approccio di gestione della conoscenza, in relazione al proprio ambiente di business e operativo, che riflette le proprie specifiche esigenze e gli esiti desiderati.

La norma stabilisce i requisiti e fornisce le linee guida per stabilire, attuare, mantenere, riesaminare e migliorare un sistema efficace di gestione per la gestione della conoscenza nelle organizzazioni. Tutti i requisiti trattati sono applicabili a qualsiasi organizzazione, indipendentemente dal tipo o dalla dimensione, o dai prodotti e servizi forniti.

 

5 step per avviare l’iter ISO 45001

immagine_kit

Ecco i 5 aspetti per per iniziare ad applicare la norma ISO 45001 e creare un sistema di gestione sicurezza e salute del lavoro.
1. eseguire un’analisi del contesto dell’organizzazione riguardante la salute e sicurezza
sul lavoro (per esempio, le parti interessate) così come dei fattori interni ed esterni
che possono avere un impatto sulle attività;
2. stabilire il perimetro di applicazione del sistema di gestione, tenendo ben presenti gli
obiettivi che si vorrebbero raggiungere;
3. definire la politica e gli obiettivi di salute e sicurezza;
4. definire i tempi di attuazione del sistema di gestione e pianificare come raggiungere
l’obiettivo;
5. definire le carenze in termini di competenze e/o risorse che è necessario colmare
prima dell’applicazione della norma.

Fornitura arredi, l’Iso 14001 aiuta a vincere

logo

La tutela dell’ambiente può far vincere una gara pubblica all’impresa produttrice che abbia una certificazione Iso 14001 (standard di gestione ambientale). Lo sottolinea il Consiglio di Stato, nella sentenza 11 marzo 2019 n. 1635, relativa a una fornitura di arredi ospedalieri all’ azienda regionale centrale acquisti della Lombardia.

Nel caso specifico, il bando di gara prevedeva un punteggio ad hoc per prodotti che presentassero un «minore impatto sulla salute e sull’ambiente» (articolo 95 comma 13 del Testo unico appalti 50/2016) e un’impresa aveva offerto beni (letti ospedalieri) prodotti con basso impatto ambientale da una propria società controllata.

La certificazione ambientale Iso 14.001, utile per ottenere tale punteggio, era tuttavia posseduta solo dall’impresa controllata, produttrice dei beni, e non dall’impresa controllante, l’unica che aveva partecipato alla gara offrendo i beni prodotti dalla società controllata.

Secondo i giudici amministrativi, il punteggio premiale spetta alla specifica impresa che fabbrichi i prodotti con certificazione ambientale Iso 14001 (ad esempio, con processi privi di esalazioni nocive o vernici tossiche), senza che ne possa beneficiare l’impresa che commercializzi, come società controllante, i prodotti della società controllata.

Fonte: Il Sole 24 Ore

Scarica la sentenza

La valutazione dei rischi quando si implementa un SGSI ISO 27001

iso27001

Una valutazione dei rischi ISO 27001 prevede cinque passaggi importanti:
1. definire una struttura di valutazione dei rischi;
2. identificare i rischi;
3. analizzare i rischi;
4. valutare i rischi;
5. scegliere le opzioni di gestione dei rischi.
La struttura di valutazione dei rischi è una parte critica del processo, che comporta anche la scelta della/e persona/e responsabili della valutazione. In assenza di persone in grado di effettuare le valutazioni, l’intero programma viene meno.
È inoltre necessario definire i criteri di accettazione dei rischi, cioè comprenderne l’impatto sull’organizzazione e le probabilità che si presentino effettivamente. Determinare l’impatto e la probabilità di un rischio dato consente di determinarne la reale gravità. Spesso i responsabili della gestione dei rischi presentano questa semplice matrice:
Probabilità
È possibile utilizzare i risultati di questa analisi per decidere come reagire ai rischi.
A tal fine è necessario considerare quattro tipi di reazione:
1. tollerare il rischio;
2. gestirlo mediante controlli;
3. eliminarlo evitandolo completamente;
4. trasferirlo, mediante un’assicurazione o un accordo con altre parti.

 

Realizzare un SGSI secondo la ISO 27001 – La struttura di gestione

iso27001

La ISO 27001 nelle clausole 4 e 5, prevede che un’organizzazione definisca il contesto dell’SGSI (Sistema di gestione sicurezza informazioni)  ed i ruoli della leadership dell’organizzazione.

Il contesto dell’organizzazione relativamente alla sicurezza delle informazioni deve, di fatto, identificare l’insieme di interessi che è necessario considerare. L’organizzazione ha interesse nella sicurezza delle informazioni, come pure i clienti, i partner, le autorità legali e normative ecc. Punto di partenza è l’esame di tali interessi con il registro dei rischi.

Una parte di questa attività comporterà identificare l’ambito dell’SGSI, che dipende dal contesto. L’ambito dovrà anche considerare i dispositivi mobili e dei tele-lavoratori (il perimetro dell’organizzazione potrebbe essere mobile e potrebbe includere anche dispositivi di proprietà dei dipendenti).
La struttura di gestione deve anche impostare le attività preliminari all’implementazione; conseguentemente sarà necessario formalizzare alcune misure significative:
• la politica per la sicurezza delle informazioni;
• l’esistenza di risorse adeguate al raggiungimento degli obiettivi;
• la definizione di strategie e/o politiche di comunicazione (sia interna che esterna);
• l’identificazione dei requisiti di competenza.
La struttura di gestione, essenzialmente, comprende tutti i fattori che definiscono i parametri del progetto.

La struttura documentale di un SGSI ISO 27001

 

Un sistema di gestione sicurezza informazioni basato sulla norma ISO 27001, deve basarsi su una struttura documentale a 4 livelli:
• Politiche di primo piano, che definiscono la posizione e le esigenze dell’organizzazione.
• Procedure di attuazione delle specifiche.
• Istruzioni operative dettagliate per il personale incaricato dell’attuazione di elementi delle procedure.
• Registrazioni di tracciamento delle procedure e istruzioni operative, che confermino che sono state seguite correttamente e coerentemente.

Collana_foto

Questa struttura è semplice quanto basta perché tutti la comprendano facilmente, fornendo al tempo stesso un modo efficace di assicurare l’attuazione delle procedure a tutti i livelli dell’organizzazione.
E’ sufficiente definire due principi:
1. controllare la documentazione per assicurarsi che le versioni più recenti siano approvate e identificabili;
2. fornire documentazione adeguata e non eccessiva, che consenta processi sistematicamente comunicati, compresi, eseguiti ed efficaci.