Certificazione ISO/IEC 22301: i vantaggi

• Vantaggio competitivo

1. Miglioramento della resilienza
2. Conformità normativa (ISO 9001, GDPR; Industria 4.0; etc.)
3. Mantenimento del miglior livello di servizio verso i clienti
4. Miglioramento della reputazione
5. Rating più alto nelle valutazioni di rischio da parte dei clienti e degli stakeholder
   

• Supporto alla pianificazione di investimenti strategici

1. Migliore comprensione del profilo di rischio aziendale
2. Identificazione di opportunità di aumentare la resilienza generale grazie al contributo di nuovi progetti industriali o di operatzioni di M&A
3. Valutazione più positiva da parte delle istituzioni finanziarie

• Miglioramento continuo

1. Ottimizzazione organizzativa (maggior focus sui processi critici)
2. Rafforzamento del management interno (collaborazione e responsabilizzazione)
3. Relazione più trasparente e diretta con i clienti (intimacy)
4. Miglior comprensione e gestione dei processi produttivi critici e della supply chain
5. Oggettivazione dei rapporti con i fornitori interni ed esterni tramite SLA

• Ottimizzazione delle coperture assicurative

1. Riduzione dei premi assicurativi
2. Ottimizzazione delle coperture richieste (Property; Business Interruption; Cyber Security)

COME OTTENERE E MANTENERE

LA CERTIFICAZIONE ISO/IEC 22301

• Definire un team di progetto
• Definire l’ambito di applicazione: azienda, divisioni, siti produttivi o processi da includere
• Sviluppare una politica per la continuità operativa: stabilire la visione dell’organizzazione sulla propria resilienza operativa
• Identificare i processi primari, le loro interdipendenze, i fornitori e i clienti critici, le esigenze degli stakeholder
• Condurre una risk analysis ed una BIA - Business Impact Analysis: rischi, probabilità di accadimento, impatti sul business
• Definire azioni di prevenzione e mitigazione ed una o più strategie di ripristino in caso di evento «disruptive»
• Predisporre un BCP - Business Continuity Plan
• Creare un Business Continuity Team e prepararlo alla gestione delle crisi
  

• Predisporre la documentazione: documentare tutti i processi del SGCO per garantire che siano attuati e migliorati, ove necessario
• Selezionare un Ente di Certificazione: un organismo terzo accreditato
• Ottenere la certificazione: l'ente di certificazione esamina la documentazione del SGCO,  verifica che i requisiti siano soddisfatti e conduce audit su procedure e best practice
• Sensibilizzare il personale: informare il personale degli obiettivi del SGCO e del proprio ruolo in caso di crisi
• Effettuare verifiche periodiche: svolgere audit interni ed altri test per verificare che le misure di prevenzione e mitigazione previste siano efficaci
• Gestire ed esaminare l’SGCO con regolarità: il sistema di gestione deve essere aggiornato ed valutato annualmente

Audit di certificazione 

La prima certificazione si svolge in due fasi

Stage 1

Durante questa fase l’auditor:

• Raccoglie informazioni e verifica la documentazione relativa al sistema di gestione da certificare.
• Determina quali sono norme obbligatorie e volontarie di riferimento per il sistema da certificare.

Questo passaggio è preparatorio per la seconda fase dell’audit di certificazione in cui si valuterà l'efficacia del sistema da certificare.

Stage 2

Durante questa seconda fase l’auditor:

• verifica che il sistema di gestione venga realmente applicato dall’organizzazione, rilevando le evidenze che confermano quanto descritto nella documentazione.
• Al termine, in assenza di non conformità gravi, l’auditor presenta richiesta al proprio ente per l’emissione della certificazione ISO.

La certificazione ha un ciclo triennale: al secondo anno l'azienda dovrà sostenere un audit di sorveglianza mentre al terzo anno sarà svolto un audit per il rinnovo del certificato.