jump to navigation

Quanto è affidabile la catena di assicurazione della Qualità? lunedì 27 aprile 2020

Posted by andy in Etica, Miglioramento, qualità.
Tags: , , , , , , , ,
add a comment

Vi racconto un fatto realmente accadutomi:

ormai parecchio tempo fa, ho inviato alcuni quesiti ad un’importante azienda pubblica di Milano, che per non fare nomi identificherò con A (tutti quesiti ragionevoli e leciti, di cui uno riguardava il trattamento dei miei dati personali) attraverso il suo portale di attenzione al cliente.

Non ho ricevuto risposte entro i tempi dichiarati sul sito, e nonostante molteplici solleciti attraverso vari canali, l’azienda ha continuato a negarmi le risposte dovute.

Ho quindi coinvolto l’Autorità Garante per la Protezione dei Dati Personali, che ha intimato all’azienda di rispondermi, cosa che è stata fatta (limitatamente al quesito sui dati personali) a pochi giorni dallo scadere dei termini per un procedimento penale.

Ho quindi scritto alla società che ha certificato A rispetto alla norma ISO9001 (anche per i servizi di attenzione al cliente) l’azienda in oggetto (identificherò questa con C).

Tale società non mi ha dato riscontro per quasi un anno, e mi ha risposto soltanto dopo una raccomandata a mano al direttore generale, asserendo di essersi persa la mia comunicazione durante una transizione di sistemi informativi (evidentemente devono essersi persi soltanto la mia, altrimenti l’azienda si sarebbe fermata completamente!).

Insistendo, e dopo approfondimenti vari, la società di certificazione C ha inserito dei controlli nella successiva visita di mantenimento della certificazione di A; tuttavia ha pensato bene di includere soltanto i controlli sul reclamo al Garante, e non quelli relativi agli altri quesiti che avevo posto ad A.

In seguito a ciò, C ha affermato di non aver riscontrato problemi nei processi di attenzione al cliente di A (inspiegabilmente, visto che i miei quesiti rimanevano ancora senza risposta!).

Chiaramente insoddisfatto, ho segnalato e documentato tutta la vicenda ad ACCREDIA, chiedendo che venissero effettuate verifiche nella società C sulle modalità di pianificazione degli audit.

Dopo lungo tempo ACCREDIA ha risposto di aver effettuato una visita documentale presso la società C, e di non aver riscontrato anomalie.

Ovviamente insoddisfatto dei controlli effettuati da ACCREDIA, ho inoltrato tutto l’accaduto ad EA (European Accreditation), che dopo lunga attesa mi ha risposto che non era cosa di sua competenza.

Dopo che ho fatto notare ad EA che la sua mission prevede anche di vigilare sull’etica e sul corretto operato dei membri accreditati, EA ha lasciato cadere ogni ulteriore comunicazione.

In sintesi, nonostante tutta la documentazione e le evidenze fornite:

  • un’importante azienda certificata ISO9001 non ha rispettato i propri impegni di certificazione, arrivando anche a violare la legge;
  • la società che ne certifica la conformità ha violato i propri obblighi di due diligence (presumibilmente in relazione all’importanza del cliente coinvolto, per non essere costretta a sospendere o revocare la certificazione di cui era garante);
  • ACCREDIA ha violato i propri obblighi di due diligence nel verificare il comportamento della società di certificazione (probabilmente per non essere costretta a mettere in discussione il suo accreditamento);
  • EA ha violato gli obblighi derivanti dalla propria mission, non assicurando la competenza, imparzialità ed integrità di ACCREDIA.

In conclusione, visto che tutti e quattro i livelli di assicurazione della qualità hanno fallito, quanto oggi si può ritenere affidabile e degna di credibilità una qualsiasi certificazione?

Abbiamo evidenza che almeno quattro persone, titolari o amministratori delegati di importanti aziende ed organizzazioni, sono hanno impostato la gestione del business delle rispettive organizzazioni in modo da privilegiandone l’immagine ed il ritorno economico, venendo meno ai propri obblighi etici.

Occorre infine ricordare che lo stipendio di tali persone è, in ultima analisi, pagato dall’utente finale (in questo caso, anche da me); infatti quando l’utente finale paga il prezzo per il servizio atteso, a sua insaputa corrisponde anche una quota per la gestione della qualità, e quindi delle certificazioni, dei servizi delle società di certificazione, e quindi risalendo anche delle quote di associazione che queste devono corrispondere ad ACCREDIA, e questa ad EA.

In sintesi, ho pagato per due servizi che non ho ricevuto: l’assistenza al cliente, e l’assicurazione della qualità di tale servizio, che è venuta a mancare.

Della Litoinformatica lunedì 16 novembre 2009

Posted by andy in Internet e società, Miglioramento, tecnologia.
Tags: , , , , , , ,
add a comment

Colgo l’occasione per coniare un neologismo: la ‘LitoInformatica‘.

Trattasi di parola composta, ovviamente, dal termine ‘informatica’, e dalla radice della parola greca ‘lithos’, ovverosia pietra.

Perché pietra? Perché l’informatica di oggi in Italia, e specificamente nella Pubblica Amministrazione è ancora gestita più o meno scolpendo messaggi nella pietra, e spostando messaggi di travertino da un ufficio all’altro.

Probabilmente qui in Italia non viviamo neppure nel periodo Neolitico dell’informatica, bensì del paleolitico.

Ma andiamo con ordine.

Pochi giorni fa mi sono trovato a richiedere all’ufficio del Comune l’autenticazione di un Certificato di Qualità di un’azienda con cui collaboro, da allegare alla documentazione amministrativa per una gara.

L’autenticazione di copia consiste nell’attestare che la copia di un documento è conforme all’originale, con il quale deve essere contestualmente confrontato.

Una prima cosa buffa è che il pubblico ufficiale ha di fatto dichiarato il falso: l'”originale” che ho presentato era semplicemente la stampa di un documento in formato PDF, del quale avevo fatto anche una fotocopia da autenticare.

In effetti l’unico vero originale consiste in un documento in formato PDF non firmato digitalmente, che l’ente certificatore ci ha inviato via e-mail su posta tradizionale.

Ah, dimenticavo la chicca! Sapete come viene fatta l’autentica della copia del documento?

Grazie ad un sofisticato software viene stampata un’etichetta adesiva che riporta un numero di protocollo univoco per l’autentica, la quale viene apposta sul retro del documento autenticato.

Ciò fatto, si procede con l’apposizione del timbro e della firma del pubblico ufficiale che effettua l’autentica!

In effetti la vera innovazione è che non si utilizzano più la ceralacca e l’anello con il sigillo del casato …

Un secondo aspetto buffo (se non vogliamo deprimerci) è che ta tempo, per legge, i documenti diretti verso le Pubbliche Amministrazioni ed i gestori di pubblici servizi non richiedono più nessuna autenticazione: è sufficiente ricorrere all’autocertificazione.

Niente di più falso: nei disciplinari di gara vengono ancora richieste copie autentiche, di fatto a pena di esclusione.

E questi sono i fatti: ora proviamo ad analizzarli un po’ più in profondità, per poi vedere come in realtà dovrebbero, o almeno potrebbero, funzionare le cose.

  1. L’ente appaltante pretende un documento di carta che richiede tempo e denaro sia da parte di chi deve produrre il documento, sia da parte delle istituzioni che devono mantenere in vita una struttura (uffici, personale, computer, stampanti, rotoli di carta adesiva, timbri, …), il tutto solo per attestare che due pezzi di carta appaiono simili;
  2. L’ente appaltante si accontenta di un documento che può essere assolutamente falso, ma viene ritenuto vero soltanto perché vi è stato apposto il sigillo di una persona autorizzata;
  3. L’ente appaltante non solo non accetta autocertificazioni, ma peggio ancora non accetta come evidenza la presenza del certificato sul sito web dell’ente certificatore;
  4. lo strumento di verifica dell’autenticità del documento si riduce ad essere un essere umano, un dipendente pubblico l’intelligenza del  cui incarico è paragonabile a quella di un semplice programma di ‘file compare‘ disponibile su tutti i più semplice home computer fin dalle loro origini;
  5. Il reale documento originale (il file in formato PDF) non porta con sé alcuna informazione di autenticità né di integrità; in nessun modo è possibile verificare se il documento sia stato realmente prodotto dall’ente certificatore o meno;
  6. Il contenuto del certificato è, di fatto, quasi un’immagine di difficile se non nulla fruibilità.

Ma vediamo ora come potrebbe funzionare un giro più semplice per fornire questa semplice informazione …

  1. Il certificato potrebbe essere semplicemente una stringa di testo, magari in formato XML, contenente tutte le informazioni necessarie, e quindi firmato digitalmente; tra le informazioni da riportare, ovviamente, la data di emissione e di scadenza del certificato, oltre che l’oggetto; questo implicherebbe naturalmente che l’ente certificatore si dotasse di un proprio certificato digitale;
  2. L’ente certificatore potrebbe / dovrebbe pubblicare il certificato sul proprio sito web, per la libera consultazione di chiunque sia interessato a verificare la veridicità dell’autocertificazione del dichiarante; sarebbe sufficiente la verifica mediante chiave pubblica dell’ente certificatore …
  3. L’ente appaltante potrebbe ‘accontentarsi’ di richiedere l’autocertificazione del numero di certificato richiesto, riservandosi di verificarne l’esistenza e la conformità sul sito dell’ente certificatore.

In questo modo si ridurrebbero drasticamente tempi e costi: niente più bolli, niente più code agli sportelli, e addirittura niente più sportelli!

Meno carta, più sicurezza sulla veridicità delle informazioni, possibilità di verificare in un istante la veridicità delle autocertificazioni dei concorrenti …

Ma questo dovrebbe essere il presente; ora scusatemi:  siamo ancora nell’era Litoinformatica, e dovendo preparare una nuova offerta,  devo tornare a scolpire i certificati da presentare al Ministero.