SISTEMA NAZIONALE DI ACCREDITAMENTO DEGLI ORGANISMI DI CERTIFICAZIONE E DI ISPEZIONE Convegno AIEA - 2004 05 20 1
Associazione senza fini di lucro costituita nel 1991 con il patrocinio del Ministero delle attività produttive. È l Ente di accreditamento di Organismi di Certificazione per: sistemi di gestione aziendali (qualità, ambiente, sicurezza, security..) prodotti, personale, e accreditamento degli Organismi di Ispezione Convegno AIEA - 2004 05 20 2
Convegno AIEA - 2004 05 20 3
L'accreditamento è un processo che favorisce, attraverso la valutazione e la successiva sorveglianza, una garanzia al mercato, affinché possa avere fiducia nei certificati rilasciati dagli organismi accreditati. Gli accordi di mutuo riconoscimento, (MLA Multilateral Agreement), degli accreditamenti mirano alla rimozione delle barriere al commercio internazionale Convegno AIEA - 2004 05 20 4
Al fine di dare fiducia e armonizzare l'interpretazione ed attuazione delle norme, ciascun organismo di accreditamento (NAB) incoraggia la cooperazione tecnica e lo scambio di esperienze tra gli organismi da quest ultimo accreditati, e lo scambio di informazioni sulle procedure e sulle pratiche di accreditamento con altri organismi di accreditamento. Convegno AIEA - 2004 05 20 5
L'organismo di accreditamento deve rendere accessibili i propri servizi a tutti i richiedenti, le cui attività ricadano nel suo campo d'azione; non devono sussistere condizioni indebite, finanziarie o di altra natura, per l accesso all accreditamento. L'accesso non deve essere condizionato dalla dimensione dell'organismo richiedente o dall'appartenenza ad associazione o gruppo, e l'accreditamento non deve essere condizionato dal numero di organismi già accreditati. (ANTITRUST) Convegno AIEA - 2004 05 20 6
Il valore delle certificazioni deve essere tale da sorpassare la mera applicazione delle leggi cogenti: vuoi che si tratti di certificazioni di Sistemi di Gestione, vuoi che si tratti di certificazioni di prodotto. Solo in pochi casi di certificazione di prodotto, relativamente ai meri requisiti legislativi, la certificazione può essere comunque utilizzata, come dimostrazione che le prove, controlli e collaudi di prodotto vengono fatti da Organizzazioni indipendenti dal produttore. Convegno AIEA - 2004 05 20 7
L'organismo di accreditamento deve limitare i suoi requisiti, la valutazione e le decisioni sull'accreditamento stesso a quegli aspetti specificamente connessi con il campo di applicazione dell'accreditamento considerato. Convegno AIEA - 2004 05 20 8
Utilità Sociale Ricchezza del Paese Attraverso la maggiore competitività del tessuto produttivo e dei servizi Convegno AIEA - 2004 05 20 9
Valutazione e certificazione accreditata debbono essere sinonimo di business e di ricchezza per il mercato ed in particolare di tutela per il consumatore. Convegno AIEA - 2004 05 20 10
Quali concetti sottendono i termini: Certificazione Accreditamento Convegno AIEA - 2004 05 20 11
CERTIFICAZIONE Procedimento complesso, attraverso il quale, una TERZA PARTE riconosciuta offre una assicurazione scritta che un prodotto, processo o servizio è conforme a requisiti specificati. Evidentemente, con un assunzione di responsabilità civile. UNI CEI EN 45020 1996 Convegno AIEA - 2004 05 20 12
CERTIFICAZIONE Certum facere Quindi effettuare una cernita facendo passare l entità certificanda attraverso un vaglio, costituito da criteri condivisi: la norma, appunto Convegno AIEA - 2004 05 20 13
ACCREDITAMENTO Procedimento con il quale, un Organismo riconosciuto attesta formalmente la competenza di un Organismo o persona fisica a svolgere funzioni specifiche UNI CEI EN 45020 1996 Convegno AIEA - 2004 05 20 14
ACCREDITAMENTO Creditum prestito (di fiducia) da cui dare credibilità. È la certificazione del certificatore. Convegno AIEA - 2004 05 20 15
L accreditamento è garanzia di: IMPARZIALITA la rappresentatività di tutte le parti interessate nel Comitato di Certificazione garantisce l uniformità di trattamento per chiunque presenti domanda di Certificazione e/o Ispezione; INDIPENDENZA l autorità preposta al rilascio della certificazione è strutturata in maniera tale da garantire l assenza di conflitti d interesse; Convegno AIEA - 2004 05 20 16
CORRETTEZZA le norme europee vietano la prestazione di consulenze sia direttamente che attraverso società collegate; COMPETENZA è necessario che il personale addetto all attivit attività di certificazione sia culturalmente, tecnicamente e professionalmente qualificato Convegno AIEA - 2004 05 20 17
FIDUCIA garanzia continua nel tempo della validità della certificazione di parte Terza a tutela del mercato INTERNAZIONALITA riconoscimento reciproco degli accreditamenti come passo fondamentale per il mutuo riconoscimento dei certificati e/o attestati emessi Convegno AIEA - 2004 05 20 18
In una certificazione si ricerca l efficacia dei processi verso gli obiettivi individuati autonomamente dalla Direzione, sulla base del rispetto delle leggi cogenti. Esistono, evidentemente, dei criteri di accreditamento diversi a seconda dell aspetto gestionale valutato. Così, ad oggi, esiste uno schema per la Security delle Informazioni, come ne esistono: - uno per la Qualità, - uno per l Ambiente ed - uno per la Salute e Sicurezza sul Lavoro. Convegno AIEA - 2004 05 20 19
L accreditamento per i Sistemi di Gestione della Sicurezza delle Informazioni, avviene sulla base di uno standard certificabile: la Norma BS 7799-2, sulla base della linea guida EA 7/03 e sulla base di alcune prescrizioni integrative di SINCERT, che vanno a regolamentare, in un ottica di serietà e rigore, alcuni aspetti operativi delle attività degli Organismi di Certificazione: quello del livello di competenza degli Auditor e quello relativo ai presupposti per la definizione del campo di applicazione della certificazione stessa. Convegno AIEA - 2004 05 20 20
Vero è che rifiutare il RISCHIO equivale a rifiutare le opportunità,, che dall accettazione accettazione dello stesso RISCHIO sono generate! Però, c è molta differenza tra: l atteggiamento sprovveduto o temerario e quello accorto e consapevole di chi applica le metodologie di Risk Management, nell ambito di una Norma certificabile. Per essere premiante, l approccio non deve essere ipocrita. Convegno AIEA - 2004 05 20 21
L adozione di uno standard organizzativo, che consenta di sviluppare un Sistema di Gestione per la IS deve essere una scelta strategica dell Alta Direzione. Lo sviluppo di un tale Sistema di Gestione dipende dalle esigenze tipiche dell organizzazione: dipende dal proprio business e dagli assets dei quali dispone (compresi i dati e le informazioni). Dall analisi del business derivano le esigenze esplicite ed implicite del Cliente Ma anche le esigenze di Business Continuity Convegno AIEA - 2004 05 20 22
Responsabilità e consapevolezza dell Alta Direzione L ESEMPIO il COMMITMENT Convegno AIEA - 2004 05 20 23
Convegno AIEA - 2004 05 20 24
In un futuro, magari su base volontaria, potrebbero anche crearsi i presupposti per la definizione di SLA (Service Level Agreement); questo elemento è tanto più importante se si vuol definire una cornice di riferimento per l effettuazione di un Benckmarking tra diverse Organizzazioni certificate (in assenza di certificazione non ha molto senso, dato che manca la confidenza sul livello e sui criteri di implementazione del Sistema di gestione specifico. È possibile anche definire dei percorsi di certificazione di servizio, cioè delle certificazioni volontarie ad hoc per specifici servizi rivolti a particolari Clienti o particolari tipologie di Clienti. Convegno AIEA - 2004 05 20 25
Occorre che l analisi dell estensione: logica, fisica ed organizzativa sia la più esaustiva, considerando tutti i processi aziendali che possono interagire con quelli cui afferiscono le informazioni da tutelare. Si deve evitare che un analisi superficiale possa portare a far rientrare dalla finestra un rischio cui si è sbarrata la porta principale! Parimenti, si deve garantire che un Sistema di gestione sia certificato a fronte di competenze di auditing definite almeno per lo standard minimo di accettabilità. Convegno AIEA - 2004 05 20 26
Misure Business Assets Risk Analysis Esigenze Cliente ed operative Convegno AIEA - 2004 05 20 27
La certificazione di un Professionista avviene, anche in questo caso, sulla base di uno standard (o di un disciplinare) di riferimento. La certificazione (per adesso non obbligatoria) relativa all auditing sulla BS 7799-2, ha forti valenze organizzative, ma deve poggiare su di un substrato di competenza tecnica, di esperienza lavorativa e di istruzione di base definiti e verificati, oltre che su esperienza di auditing e su di un esame specifico. La certificazione accreditata da evidenza dell adozione di un Codice Deontologico, della gestione dei reclami, dell aggiornamento professionale continuo e del mantenimento in esercizio delle competenze acquisite. Convegno AIEA - 2004 05 20 28
Un professionista dell Auditing deve rispettare i criteri di qualificazione e di operatività previsti dalla Norma UNI EN ISO 19011:2003 (ISO 19011:02). Tale standard, utilizzato per similitudine sugli schemi Qualità ed Ambiente, prevede degli aspetti sia di competenza tecnica, sia di competenza di auditing. Convegno AIEA - 2004 05 20 29
Competenza per l Auditor = saper utilizzare la conoscenza. Convegno AIEA - 2004 05 20 30