Nella situazione economica e nella globalità degli scambi commerciali che contraddistingue l’attuale economia mondiale, la problematica della security, intesa come resistenza a uno o più atti intenzionali non autorizzati progettati, per causare incidenti o danni alla catena di fornitura detta supply chain, è di grande attualità. |
La globalizzazione offre molti vantaggi in ambito di mercato e produttivo, ma espone la supply chain anche a rischi difficili da controllare come ad esempio incendi, disastri naturali, attacchi informatici e terrorismo, che potrebbero compromettere lo stato delle merci creando gravi ritardi o disagi nella consegna ai clienti finali con conseguenti perdite economiche e d’immagine dell’azienda stessa.
La Certificazione della norma ISO 28000: 2007_Specification for security management system for the supply chain, è un utile strumento per le organizzazioni, in grado di portare vantaggi alle aziende di tutte le dimensioni, aiutandole a rispondere alle crescenti richieste dei clienti per una gestione sistematica della security.
Un sistema di gestione conforme alla norma ISO 28000 può migliorare la fiducia, la reputazione e la crescita futura dell’azienda, creando i seguenti vantaggi:
- monitorare e gestire i rischi per la security in tutta l'azienda e nella catena di fornitura
- attirare nuovi clienti per le aziende di trasporti e di logistica
- aiutare le aziende a proteggere i propri processi operativi all'interno della catena di fornitura.
- rassicurare le parti interessate all'impegno dell’organizzazione verso la security delle persone, dei beni e servizi.
- consentire alla direzione di concentrare risorse nelle aree di maggiore rischio.
- confrontare le pratiche di gestione della security dell’organizzazione con le best practice internazionali
- ridurre i costi attraverso una mitigazione degli incidenti di sicurezza e una potenziale riduzione dei premi assicurativi aziendali.
- migliorare l'efficienza delle pratiche lavorative
La norma ISO 28000 è uno standard internazionale che soddisfa i requisiti di un sistema di gestione della security (SCS) per la catena di fornitura. Specifica gli aspetti per aiutare l'organizzazione ad identificare e valutare le minacce alla sicurezza e a gestirle man mano che si presentano nella catena di fornitura. La gestione della sicurezza della supply chain è perfettamente integrabile ad altri aspetti dell’organizzazione aziendale sia in termini di gestione operativa che di rischi, inclusi quelli della salute e sicurezza sul lavoro.
Attraverso il sistema di gestione come proposto dalla ISO 28000, le organizzazioni possono determinare se sono state individuate misure di sicurezza appropriate in grado di proteggere la proprietà e i prodotti da vari rischi e minacce, sia interne che esterne.
La norma ISO 28000 è applicabile a tutte le organizzazioni indipendentemente dalle dimensioni e attività: dalla piccola azienda alla multinazionale, in produzione, assistenza, stoccaggio o trasporto, in qualsiasi fase della catena di produzione o di fornitura che desideri migliorare la propria Supply Chain Security.
Lo Standard ISO28000:2007 come tutte le norme ISO riferite ai sistemi di gestione si basa sul principio del miglioramento continuo PDCA (Plan, Do, Check, Act) che rappresenta un metodo riconosciuto di miglioramento dei propri processi.
Nella fase “Plan” l’azienda dovrà:
- individuare la Politica per la Supply Chain Security
- definire le risorse per l’implementazione e il mantenimento del sistema ISO28000
- valutare il rischio tenendo conto dei possibili scenari a cui l’organizzazione potrebbe essere esposta anche in accordo alle norme e leggi che l’azienda deve rispettare.
- definire contromisure al fine di ridurre il rischio
- definire Programmi, obiettivi e target
Nella fase “Do” l’azienda dovrà:
- definire la struttura organizzativa e relative competenze
- implementare le azioni necessarie per mitigare il rischio
- sviluppare la necessaria documentazione operativa a supporto
- monitorare le attività e dare attuazione al sistema
- identificare un piano di gestione delle emergenze
Nella fase “Check” l’azienda dovrà:
- monitorare e misurare
- gestire le non conformità, gli incidenti di security, i reclami dando seguito a opportune azioni correttive e preventive
- effettuare periodici Audit interni al fine di monitorare lo stato del sistema e la sua corretta applicazione
Nella fase di “Act” l’azienda dovrà:
- eseguire il riesame della direzione tenendo conto dei programmi, obiettivi e traguardi raggiunti insieme al risultato degli audit interni e alle performance del sistema SCS
- valutare e definire ulteriori azioni e decisioni che possano portare ad un miglioramento del sistema della SCS
Il cuore della certificazione è la valutazione del rischio dove l’azienda deve riflettere, fuori dai normali schemi operativi, come i suoi processi e attività aziendali possono essere minacciati da vari scenari tra cui:
- intrudere o prendere il controllo di un bene (inclusi i trasporti) all'interno della catena di fornitura
- utilizzare la catena di fornitura come mezzo di contrabbando
- attuare delle manomissioni delle informazioni
- manomettere la propria Cargo Integrity
- effettuare un uso non autorizzato di beni, strumenti e apparecchiature
Durante la valutazione dei rischi l’organizzazione dovrà prendere in considerazione:
- il Controllo dell’accesso fisico ai locali, ai mezzi e alle informazioni sensibili
- la natura dei mezzi di trasporto (camion, ferrovia, chiatte, aerei, navi, ecc.), tenendo conto anche dei loro servizi e del possibile utilizzo improprio
- la movimentazione e manipolazione dei beni durante le fasi di caricamento, produzione, deposito, trasferimento, scarico
- la modalità di trasporto delle merci (aerea, stradale, rotaia e marittima)
- il rilevamento e la prevenzione delle intrusioni applicate alle spedizioni.
- attività di controllo, ad es. ispezioni del veicolo.
- il livello di competenza, formazione, consapevolezza e integrità dei propri collaboratori
- l’utilizzo di partner commerciali.
- le prassi e il controllo delle comunicazioni interne ed esterne: gestione o elaborazione di informazioni su merci o vie di trasporto tra cui la protezione e garanzia dei dati
- informazioni esterne tra cui legali, ordini da parte delle autorità, incidenti.
A cura di Luigi Fabbroni e Alessandro Falchi.