Adotta una procedura centralizzata di gestione dei fornitori

Perché è importante adottare una procedura centralizzata di gestione dei fornitori

Quando ci si approvvigiona presso un fornitore terzo è necessario gestire il rischio derivante da questa attività; quindi, è importante utilizzare delle procedure che determinano in modo certo e uniforme l’acquisto e la vendita di forniture informatiche da parte di aziende pubbliche e private. Tra le molteplici attività necessarie ad una corretta gestione dei fornitori, particolare enfasi merita il processo di analisi, controllo e mitigazione dei rischi (risk assessment, risk management & risk remediation), che costituisce il nucleo centrale su cui si orientano le principali ISO che definiscono le procedure di qualità (ISO 9001:2015) e di gestione della sicurezza dei sistemi informativi (l’intera famiglia ISO/IEC 27000).

L’implementazione di adeguati piani di gestione del rischio è particolarmente necessaria per corredare l’attività di approvvigionamento dei necessari protocolli di sicurezza, nonché per dotarla di un registro nei casi di successo/insuccesso che possa orientare le parti coinvolte verso una cultura basata sulla previsione delle incertezze e sulla prevenzione. 


Le caratteristiche principali da osservare in un processo di gestione dei rischi prevedono:

  • una conoscenza approfondita dell’organizzazione, del contesto in cui si muove e dei suoi obiettivi principali;
  • una corretta identificazione delle funzioni, dei processi e degli asset aziendali, corredata da un adeguato piano di gestione del cambiamento delle stesse;
  • una attività di classificazione continua, nonché costantemente aggiornata, dei processi critici e dei dati trattati, con l’adozione delle necessarie contromisure volte a mitigare i possibili rischi;
  • una documentazione formale (policy), costantemente aggiornata e periodicamente somministrata agli addetti ai lavori mediante apposite sessioni di training.


Business Impact Analysis

A loro volta, le attività di Risk Assessment non possono prescindere da una analisi di impatto volta a determinare l’impatto e le ricadute sul business aziendale di eventi interni o esterni che potrebbero provocare l’interruzione della produzione o dell’erogazione di servizi.