Cambiare la strategia aziendale

Chiudiamo questo splendido 2007 con una storiella.
Tanti auguri a tutti!
Lo staff di ComplianceAziendale.com

Un uomo se ne stava seduto sul gradino di un marciapiede con un cappello ai suoi piedi e un pezzo di cartone su cui aveva scritto: "Sono cieco, aiutatemi per favore"

Un pubblicitario che passava di lì si fermò e notò che vi erano solo pochi centesimi nel cappello.
Si chinò e lasciò qualche spicciolo nel cappello poi, senza chiedere il permesso, prese il cartone, lo girò e vi scrisse sopra un'altra frase.

Nel pomeriggio, il pubblicitario ripassò e notò che il cappello era pieno di monete e di banconote.
L'uomo riconobbe il passo del pubblicitario e gli domandò se era stato lui a scrivere sul suo pezzo di cartone e soprattutto che cosa vi avesse scritto.

Il pubblicitario rispose: "Nulla che non sia vero, ho solamente riscritto la tua frase in un altro modo". Sorrise e se ne andò.

Il cieco non seppe mai che sul suo pezzo di cartone vi era scritto: "Oggi è primavera e io non posso vederla".

Privacy: Guida pratica e misure di semplificazione per le piccole e medie imprese

Dal Garante della Privacy una guida pratica per facilitare la vita di piccole e medie imprese: come mettersi in regola con le norme sulla protezione dei dati in maniera semplice ed efficace

****

Sul sito del Garante della Privacy è possibile consultare e scaricare la "Guida pratica", messa a punto dal Garante per la protezione dei dati personali (pubblicata nella G.U. 21 giugno 2007, n. 142) per facilitare le piccole e medie imprese nell'assolvimento degli obblighi che la normativa sulla privacy impone a chi raccoglie, utilizza, conserva dati personali.

La "Guida pratica e misure di semplificazione per le piccole e medie imprese" affronta tutti i problemi ai quali un imprenditore si trova a dover far fronte quotidianamente e fornisce indicazioni sintetiche e soluzioni semplificate per un corretto trattamento dei dati personali. É inoltre integrata da un utile questionario per un'immediata verifica, da parte degli imprenditori, delle eventuali criticità.

Tra le questioni affrontate dalla Guida, come e quando informare clienti e dipendenti sull'uso dei loro dati personali, come soddisfare le richieste di accesso ai loro dati da parte degli interessati, ma anche aspetti legati alla globalizzazione dei mercati e alla sempre maggiore necessità di trasferire dati personali all'estero.

Obblighi informativi nei confronti dell'Organismo di Vigilanza

Le informazioni che devono essere trasmesse all'Organismo di Vigilanza.

di Giovanni Battisti.

Il Decreto Legislativo 231/01 stabilisce che i Modelli devono “prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli” (art. 6, co. 2, lett. d).

La Relazione di accompagnamento al Decreto non fornisce chiarimenti sul punto.

Le Linee Guida di Confindustria specificano che:
“L’obbligo di informazione all’organismo sembra concepito quale ulteriore strumento per agevolare l’attività di vigilanza sull’efficacia del Modello e di accertamento a posteriori delle cause che hanno reso possibile il verificarsi del reato.
Se questo è lo spirito della prescrizione normativa, allora è da ritenere che l’obbligo di dare informazione all’Organismo sia rivolto alle funzioni aziendali a rischio reato e riguardi: a) le risultanze periodiche dell’attività di controllo dalle stesse posta in essere per dare attuazione ai modelli (report riepilogativi dell’attività svolta, attività di monitoraggio, indici consuntivi, ecc.); b) le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili (un fatto non rilevante se singolarmente considerato, potrebbe assumere diversa valutazione in presenza di ripetitività o estensione dell’area di accadimento).
Nella specie le informazioni potranno riguardare, ad esempio:
- le decisioni relative alla richiesta, erogazione ed utilizzo di finanziamenti pubblici;
- le richieste di assistenza legale inoltrate dai dirigenti e/o dai dipendenti nei confronti dei quali la Magistratura procede per i reati previsti dalla richiamata normativa;
- i provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati di cui al D. Lgs. n. 231/2001;
- le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al D. Lgs. n. 231/2001;
- le notizie relative alla effettiva attuazione, a tutti i livelli aziendali, del modello organizzativo, con evidenza dei procedimenti disciplinari svolti e delle eventuali sanzioni irrogate ovvero dei provvedimenti di archiviazione di tali procedimenti con le relative motivazioni;
- i prospetti riepilogativi degli appalti affidati a seguito di gare a livello nazionale e europeo, ovvero a trattativa privata;
- le notizie relative a commesse attribuite da enti pubblici o soggetti che svolgano funzioni di pubblica utilità.”
(Confindustria, Linee Guida…, cap. 3, par. 3 Obblighi di informazione dell’organismo di vigilanza)

Nella pratica operativa “Molte società hanno previsto specifici flussi informativi verso l’Organismo di Vigilanza, i cui conenuti risultano tuttavia eterogenei (segnalazioni su fatti specifici, report strutturati dalla singole funzioni aziendali, informazioni dagli OdV delle società controllate, ecc.).” (PriceWaterhousecoopers, Genesi, evoluzione ed applicazione concreta del DLgs. 231/01, Atti del convegno “Forum Compliance Days”, Milano, 25 settembre 2007)

Risk Analysis - Metodologie di Analisi del Rischio

di Fabio Frangipani.

E’ possibile ricondurre le metodologie di analisi del rischio a due tipologie principali [1]:
1) Analisi Proattiva, prevede uno studio preventivo finalizzato all’eliminazione delle criticità di sistema prima che l’incidente si verifichi.
L’analisi in oggetto, è principalmente basata su metodologie di analisi di dettaglio dei processi aziendali. Gli strumenti principali sono quelli diffusi nella pratica aziendale:

IDEF (Integration Definition Language):
Consente di costruire modelli che permettono di rappresentare le funzioni in esame
(attività, azioni, procedimenti, operazioni) attraverso relazioni funzionali e dati, evidenziando come gli elementi che compongono il sistema (persone, strumenti, informazioni, attività) sono in relazione tra di loro.
Attraverso una descrizione grafica e testuale si descrive come il sistema opera, come si controlla, cosa produca e quali risorse consuma.

SHELL:
Acronimo di Software (norme), Hardware (strumenti), Environment (ambiente), Livewire (persona in attività), definisce tutte le relazioni tra le parti del sistema ponendo al centro dell’attenzione la componente umana, flessibile ed adattabile ai cambiamenti delle altre.
Si pone il problema di rintracciare quale delle relazioni, che l’uomo condivide nel sistema (L-L, L-E, L-H, L-S), non ha funzionato per proporre poi soluzioni che rinforzino tale relazione

FMECA (Failure Mode Effects and Critically Analysis):
Analisi critica dei modi di guasti/errore e dei loro effetti quali/quantitativi.
Si basa su considerazioni preventive dei possibili guasti/errori che portano alla valutazione oggettiva del progetto e delle alternative, alla previsione di prove e controlli e alla esplicitazione di un riferimento con cui confrontare il prodotto effettivo.
In sintesi, i principali passaggi operativi per l’applicazione della FMECA sono i seguenti:
1. Definire l’oggetto dell’analisi, definire il progetto o il processo che deve essere studiato;
2. Descrivere il modo di realizzazione o funzionamento corretto;
3. Effettuare l’analisi qualitativa descrivendo i modi di errore/guasto, i loro effetti, le possibili cause;
4. Costruire tre scale di valutazione necessarie: gravità dell’effetto, probabilità della causa, rilevabilità del guasto/errore;
5. Effettuare le valutazioni quantitative con riferimento ai tre elementi precedenti;
6. Calcolare l’indice di priorità del rischio (IPR);
7. Ordinare per IPR decrescente;
8. Assumere decisioni per abbassare il livello di rischio (controllo, riduzione, eliminazione)


2) Analisi Reattiva, che prevede uno studio a posteriori dell’evento avverso ed è finalizzata all’individuazione delle cause del suo verificarsi. Le metodologie maggiormente diffuse nella pratica sono le seguenti:

Incident Reporting:
consiste nella raccolta di schede volontarie anonime per la segnalazione degli eventi avversi.
Attraverso la scheda degli errori si possono raccogliere una serie d’informazioni per individuare gli elementi che hanno consentito il verificarsi dell’evento avverso
Le informazioni che sono richieste possono essere varie e tutte finalizzate all’individuazione della causa originaria dell’evento (es. il luogo in cui si è verificato l’evento, le persone coinvolte, chi ha individuato l’evento).
Si censiscono, inoltre, una serie d’informazioni sulle possibili cause degli errori distinguendo tra fattori umani (es. conoscenza) , organizzativi (es. procedure), tecnologici, infrastrutturali ecc.
In sostanza, attraverso, la metodologia in esame vengono ricostruiti mediante un percorso a ritroso le cause del verificarsi dell’evento.
Riepilogando la metodologia dell’incident reporting, attività documentata a livello internazionale da un trentennio, è finalizzata all’introduzione di un sistema di reporting standard che consenta di:
1. Costruire una banca dati di analisi;
2. Predisporre strategie;
3. Individuare azioni correttive;
4. Migliorare per evitare il riverificarsi di determinati eventi;

Mediante la metodologia in questione ci si pone l’obiettivo, mediante lo strumento della scheda anonima di comprendere tutti i fattori legati all’evento avverso.
La scheda d’incident reporting nasce nel settore delle aziende sanitarie.
Si ritiene, tuttavia, che il suo impiego possa utilmente estendersi alle diverse tipologie di aziende nei diversi settori.
E’ evidente che un sistema del genere può esprimere la sua utilità solo laddove venga salvaguardato il principio dell’anonimato della scheda in questione.

Root Causes Analysis (RCA)
Le Root Causes Analysis sono analisi che, a partire dagli errori riscontrati in un sistema, ne ricercano le cause attraverso un metodo induttivo che procede in profondità mediante domande che esplorano il “perché” di ogni azione e di ogni sua possibile deviazione rispetto al processo ordinario.
Esistono diversi strumenti applicati nelle RCA allo scopo di pervenire alla individuazione della “root cause” (diagrammi a spina di pesce, tecnica dei 5 perché, mappa dei processi).
Una metodologia del genere richiede necessariamente la scomposizione complessiva del
processo ai fini dell’individuazione delle fasi critiche e dell’impostazione delle successive
azioni correttive.

A prescindere dalla metodologia utilizzata, le condizioni prioritarie per la corretta implementazione di un sistema di Risk Management sono la corretta classificazione iniziale dell’errore potenziale e la corretta scomposizione del processo aziendale ai fini delle individuazione delle microattività in cui risiede l’errore medesimo.

-----
[1] Commissione Tecnica sul Rischio Clinico - Ministero della Salute, Dipartimento della Qualità, Risk Management in Sanità. Il problema degli errori, Ministero della Salute, marzo 2004 pag. 12, ss.

Risk Analysis, teoria dell'errore

di Fabio Frangipani.

Ai fini dell’implementazione di un modello di Risk Management è necessario comprendere e classificare le tipologie di errori che si possono verificare; la loro conoscenza è presupposto indispensabile per orientare le successive azioni di Risk Analysis e di mitigazione del rischio.
In letteratura esistono diverse teorie al riguardo; tuttavia, l’orientamento prevalente è quello riconducibile alla “Teoria degli Errori” di James Reason [1] , peraltro ripresa dal Ministero della Salute [2].

James Reason distingue tra errori di esecuzione e tra azioni compiute secondo le intenzioni e delinea tre tipologie di errore:

a) Errori di esecuzione che si verificano a livello di abilità (slips):
In questa categoria rientrano tutte quelle azioni che vengono eseguite in modo diverso da come pianificato.
In tale ipotesi, esiste una pianificazione delle attività ma l’errore è riconducibile ad una carenza di abilità dell’individuo.

b) Errori provocati da un fallimento della memoria (lapses):
In questo caso l’azione ha un diverso risultato da quello atteso a causa di un fallimento della memoria.

c) Errori non commessi durante l’esecuzione pratica dell’azione (mistakes):
Si tratta di errori pregressi che si sviluppano durante i processi di pianificazione strategica: in tale ipotesi, l’obiettivo non viene raggiunto perché i mezzi e le tattiche impiegati per raggiungerlo non lo consentono.
Gli errori appartenenti alla tipologia c) possono essere di due tipi:

1. Ruled-based: si è scelto di applicare una regola o una procedura che non permette il conseguimento di quel determinato obiettivo;
2. Knowledge-based: sono errori che riguardano la conoscenza, a volte troppo scarsa, che porta all’attuazione di percorsi operativi che non consentono il raggiungimento dell’obiettivo prefissato.In questo caso è il piano stesso ad essere sbagliato, nonostante le azioni siano eseguite in modo corretto.

Reason considera nella sua, classificazione, anche le violazioni.
Per violazioni s’intendono tutte quelle azioni che vengono eseguite anche se ciò è formalmente impedito da un regolamento, direttiva ecc.
Reason nell’analisi dell’errore umano considera anche la teoria degli errori latenti [3].
Il presupposto di base in tale approccio risiede nella convinzione che gli incidenti siano solo la “punta di un iceberg”.
In pratica, per un incidente che ha avuto luogo ce ne sono molti altri che non sono avvenuti esclusivamente perché l’operatore, o un controllo, o altro, hanno impedito che l’incidente accadesse.
In altre parole, trattasi di errori che solo casualmente o per controlli non si sono verificati ma che sono “latenti” nel sistema aziendale.
I medesimi rappresentano, così come definiti in dottrina, dei “quasi-errori” o “incidenti potenziali”. Parliamo dei cosiddetti near miss events [4].

La classificazione in oggetto consente di comprendere l’importanza d’individuare aprioristicamente la tipologia di errore per intraprendere le successive azioni o decisioni strategiche e operative risk oriented.
Se il Risk Analyst riconduce le tipologie prevalenti di errori in via preventiva nella classe della violazioni o nella categoria dei mistakes, saranno diverse le azioni successive di risk management da intraprendere e le decisioni aziendali di mitigazione del rischio da adottare.
E’ evidente che nel primo caso si parla di errori provocati da comportamenti dei dipendenti mentre nel secondo di errori strategici, probabilmente riconducibili al vertice aziendale.
Ciò induce a ritenere che il Risk Manager deve, innanzitutto, classificare gli errori riconducendoli alle categorie suddette.
Ad avviso di chi scrive, l’implementazione di un erroneo sistema di risk management sia nelle aziende sanitarie, che in quelle operanti negli altri settori, è fondamentalmente riconducibile ad errori in fase di Risk Analysis, ovvero in fase di analisi e classificazione preventiva dell’errore.

-----
[1] Reason J., Cambridge University Press, 1990, Human Error.
[2] Commissione Tecnica sul Rischio Clinico - Ministero della Salute, Dipartimento della Qualità, Risk Management in Sanità. Il problema degli errori, Ministero della Salute, marzo 2004. cap. 1.1, pag. 6, ss.
[3] Reason J., Human Errors: Models and Management, 2000.
[4] Nashef S. , What is a near miss?, The Lancet, 2003.

Parlano di noi su ComplianceNet

Su ComplianceNet un'intervista di Cristina Cellucci a Giovanni Battisti, fondatore e moderatore del sito ComplianceAziendale.com, sui rapporti tra compliance, internal audit e D.Lgs. 231/01, e sulle prospettive del sito.

Clicca qui per leggere l'intervista.

Risk Management - atti del seminario dell'Isaca Roma del 11.12.2007

(Notizia tratta da www.agatinogrillo.it)

Sono disponibili le slide della relazione presentata al seminario di Isaca Roma dello scorso 11 dicembre 2007 (pdf, 2.1 M, 75 pp) dedicato al "Risk Management" e condotto da Alessandro Sinibaldi (qui la sua intervista).

Indice della presentazione

• Parte I
  • 1. Cosa è il Rischio
  • 2. Processi e Asset
  • 3. Minacce
  • 4. Vulnerabilità
  • 5. Contromisure
  • 6. Rischio
• Parte II
  • 7. Mehari
  • 8. Octave
  • 9. Cramm
  • 10. Coras
  • 11. Ebios
• Conclusioni
• Riferimenti bibliografici e sitografici
• Varie –Q&A

Decreto Legislativo n. 231 del 2007

Con pubblicazione sulla Gazzetta Ufficiale n. 290, Supplemento Ordinario n. 268 del 14 dicembre 2007 è stato emanato il Decreto Legislativo 231/07 di recepimento della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

Due le novità in materia di D.Lgs. 231/01:

1. il D. Lgs. 231/07 introduce (art. 63, co. 3), per qualsiasi tipologia di società, i reati di ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita tra quelli che possono comportare la responsabilità dell’ente (D.Lgs. 231/01, art. 25-octies). I reati di riciclaggio e di impiego di denaro, beni o utilità di provenienza illecita erano già rilevanti ai fini del D.Lgs. 231/2001 ma esclusivamente se realizzati trasnazionalmente (ex art. 10 L. 146/06). A seguito dell'introduzione dell'art. 25-octies, i predetti reati – unitamente alla ricettazione – divengono rilevanti anche su base nazionale.
2. per specifiche tipologie di società -intermediari finanziari, operatori non finanziari e professionisti-, il Decreto Legislativo prevede una modifica del ruolo dell’Organismo di Vigilanza, cui competono specifici obblighi di comunicazione nei confronti delle Autorità di Vigilanza, del Ministero dell’Economia e delle Finanze e dell’UIF (D.Lgs. 231/07, art. 52).

Le nuove disposizioni entrano in vigore dal 29 dicembre 2007.

Clicca qui per visualizzare il "Testo unico delle Leggi di Pubblica Sicurezza" (Regio Decreto 18 giugno 1931, n. 773), richiamato dagli articoli 10 e 14 del D.Lgs. 231/07.

La qualità nell'Internal Audit

E' possibile consultare e scaricare gratuitamente dal sito dell' IIA (Institute of Internal Auditors) una guida per sviluppare i programmi di qualità nelle funzioni di Internal Audit.

Rischio clinico e clinical risk management

di Fabio Frangipani.

Il Rischio Clinico può essere definito come la probabilità che un paziente sia vittima di un evento avverso, cioè subisca un qualsiasi danno o disagio imputabile, anche se in modo involontario, alle cure mediche o alle prestazioni sanitarie, che causa un prolungamento del periodo di degenza, un peggioramento delle condizioni di salute o la morte [1].

Il Rischio Clinico può essere mitigato attraverso iniziative di Risk Management attuate a livello di singola struttura sanitaria.
Il Risk Management in sanità (Clinical Risk Management) può essere sostanzialmente definito come il complesso delle azioni messe in atto per migliorare la qualità delle prestazioni sanitarie e garantire la gestione ottimale del rischio clinico, a tutela della sicurezza del paziente.

L’attività di Risk Management si articola in alcune fasi fondamentali:
1. Conoscenza ed analisi dell’errore;
2. Individuazione e correzione delle cause dell’errore;
3. Monitoraggio delle soluzioni messe in atto;
4. Implementazione e sostegno attivo delle soluzioni proposte.

L’analisi dell’errore è finalizzata alla quantificazione e classificazione del rischio; ciò orienterà le scelte strategiche e gestionali conseguenti per la gestione del medesimo (Trasferimento, ritenzione, condivisione, eliminazione ecc.).

Il rischio sarà rappresentato non solo dalla probabilità di occorrenza dell’evento avverso, ma anche dal possibile danno per il paziente.
Ne deriva che il medesimo sarà espresso come prodotto della probabilità di accadimento dell’evento (P) per la gravità del danno associato (D):

R = P X D

I fattori [2] che concorrono alla definizione del “grado di rischio” in sanità possono essere raggruppati nelle seguenti classi:

Fattori strutturali-tecnologici:
- sicurezza e logistica degli ambienti;
- apparecchiature e strumentazioni (funzionamento, manutenzione, rinnovo);
- caratteristiche del fabbricato sanitario.

Fattori organizzativo-gestionali e condizioni di lavoro:
- struttura organizzativa (ruoli, responsabilità, distribuzione del lavoro);
- politica e gestione delle risorse umane: organizzazione, stili di leadership, sistema premiante, supervisione e controllo, formazione e aggiornamento, carico di lavoro e turni (che concorrono a determinare fatica e stress);
- sistema di comunicazione organizzativa;
- coinvolgimento degli stakeholder;
- politiche per la promozione della sicurezza del paziente: linee guida e percorsi diagnostico-terapeutici;
- sistemi di segnalazione degli errori.

Fattori umani (individuali e del team):
- personale: caratteristiche individuali (percezione, attenzione, memoria, capacità di prendere decisioni, percezione della responsabilità, condizioni mentali e fisiche, abilità psicomotorie) e competenza professionale;
- dinamiche interpersonali e di gruppo e conseguente livello di cooperazione.

Caratteristiche dell’utenza:
- epidemiologia ed aspetti socio-culturali (aspetti demografici, etnia, ambiente socioeconomico, istruzione, capacità di gestione delle situazioni, complessità e compresenza di patologie acute e croniche).

Fattori esterni:
- normativa e obblighi di legge;
- vincoli finanziari;
- contesto socio-economico-culturale;
- influenze della opinione pubblica e dei media, delle associazioni professionali e di pubblica tutela;
- assicurazioni.

La maggior parte degli incidenti in organizzazioni complesse, come quelle sanitarie, è, quindi, generato dall’interazione fra le diverse componenti del sistema: tecnologica, umana ed organizzativa.


-----
[1] Commissione Tecnica sul Rischio Clinico - Ministero della Salute, Dipartimento della Qualità, Risk Management in Sanità. Il problema degli errori, Ministero della Salute, marzo 2004. cap. 1.1, pag. 2
[2] Dipartimento della Qualità – Ministero della Salute, Sicurezza dei pazienti e gestione del rischio clinico: Manuale per la formazione degli operatori sanitari