Smart Working, le implicazioni giuridiche e organizzative - parte 2/2
La re-ingegnerizzazione dei processi operativi delle organizzazioni

| 29/07/2020 06:55

A cura di: Avv.ti Gaetano Citro e Alessandro Rubino dello studio legale Rubino Avvocati e del Prof. Gerardo Bosco, Ceo di Bosco&Co e Docente di Planning and Strategic management all'Università La Sapienza di Roma

LEGGI LA PRIMA PARTE - L'adempimento normativo visto e concepito come opportunità di sviluppo aziendale


La corretta esecuzione della reingegnerizzazione dei processi aziendali può essere un punto di svolta per qualsiasi azienda. Se gestita correttamente, la reingegnerizzazione dei processi aziendali può fare miracoli su un'azienda in fallimento o stagnante, aumentando i profitti e guidando la crescita.

La reingegnerizzazione dei processi aziendali, tuttavia, non è il concetto più semplice da comprendere. Implica l'applicazione del cambiamento in un'organizzazione: abbattere qualcosa a cui le persone sono abituate e creare qualcosa di nuovo.

Le implicazioni organizzative riguardano tanto la gestione degli scambi informativi – con tutto quanto ne consegue in merito agli aspetti di sicurezza dei dati e di privacy – quanto la gestione dei processi operativi. Questi ultimi, nel loro svolgimento, assorbono risorse, sono soggetti a procedure di controllo, sono legati a meccanismi di input-output e prevedono un set di relazioni intra-organizzative e inter-organizzative. In virtù di ciò, i processi operativi generano costi e possono essere in grado di produrre o contribuire a generare ricavi.

Da quanto detto, è chiara la necessità di calare lo smart working all'interno di questo framework, per comprendere la portata del cambiamento organizzativo che tali iniziative possono generare. Quindi, non si può ignorare l'impatto che, a titolo d'esempio, può avere la gestione in smart working dell'attività di controllo documentale e fisico della merce in entrata dai fornitori, in un qualsiasi stabilimento produttivo o in una piattaforma logistica, sul flusso di attività e sui costi di gestione. Ancora, quale impatto può avere la collocazione in smart working del tecnico di laboratorio sulle procedure di controllo delle contaminazioni delle materie prime poste in lavorazione in un'azienda agroalimentare?

L'implementazione di progetti di smart working richiedono un'attenta analisi dell'AS IS organizzativo, in particolare dei processi operativi attraverso i quali le organizzazioni operano e generano valore, affinché nulla sia lasciato al caso riguardo l'adeguatezza del dominio operativo all'interno del quale si vorrà calare il progetto. Lo scopo deve essere quello di rispondere alle seguenti domande:

1) Quali flussi di attività possono essere oggetto di smart working?

2) Quale impatto può avere l'implementazione dello smart working sui processi operativi esistenti?

3) Quale impatto sull'efficienza e sull'efficacia dell'organizzazione può avere l'implementazione dello smart working?

4) Quale re-ingegnerizzazione è richiesta ai flussi operativi affinché lo smart working possa portare agli stessi output dell'organizzazione?

5) L'eventuale revisione dei flussi operativi, richiesta dall'implementazione dello smart working, implica una variazione dei costi di gestione dell'organizzazione?

6) E quale impatto può avere sulla gestione dei flussi informativi connessi allo svolgimento dei processi operativi?

7) Quali sono le aree di rischio di dispersione informativa e di sicurezza dei dati potenzialmente derivanti dall'implementazione dello smart working nella gestione dei processi operativi delle aziende?


Si tratta, quindi, di analizzare l'AS IS organizzativo, valutarne la complessità – anche tramite l'utilizzo di parametri più strettamente collegati all'analisi del rischi di dispersione e sicurezza informativa, di cui si parlava più sopra -, re-ingegnerizzare i flussi (tutti, in parte, solo quelli più strettamente connessi allo smart working), agganciare i processi operativi revisionati ad un sistema di controllo, non solo dei costi generati ma anche della capacità dell'organizzazione di minimizzare (fino ad annullare) i rischi summenzionati.

Una tecnica senz'altro pertinente ed efficace, per raggiungere la finalità appena illustrata, è il BPR – Business Process Re-engineering, che prevede un intervento sulla struttura organizzativa, sui flussi operativi, quindi sulle procedure di gestione dell'azienda e sui task incaricati di svolgere le suddette attività e procedure.

Come lo stesso nome indica, l'intervento si focalizza prioritariamente sulla ricostruzione dei processi aziendali, affinché si giunga ad un quadro completo del funzionamento attuale dell'azienda, per poi operare una re-ingegnerizzazione dei processi stessi, finalizzata all'ottimizzazione delle attività operative e al saving dei costi inerenti. E' necessario analizzare i flussi dei dati, con lo scopo di raggiungere un profilo target ottimale, che dia all'organizzazione sicurezza in materia di trattamento dei dati e di cyber security.

A tal proposito bisogna far riferimento alla configurazione degli asset societari e della regola degli OTTOSTEP.

Redatta una dettagliata policy sull'uso corretto delle postazioni di lavoro, integrata con un piano scelto, definito dalle procedure esistenti in materia di smart working, al fine di procedere alla stesura ed alla progettazione del framework di riferimento è necessario in primo luogo individuare i flussi operativi, gli asset sui quali l'organizzazione poggia, e sui quali bisogna intervenire allo scopo di garantire alti standard normativi.

E' indispensabile pertanto mappare il perimetro aziendale, ed a tal proposito è fondamentale individuare i dati da proteggere, sia nel loro momento statico che dinamico.

In questa maniera vengono definiti i trattamenti che l'organizzazione sottende, ulteriormente specificati attraverso la stesura di un inventario di tutti gli strumenti utilizzati, sia all'interno del perimetro di riferimento che all'esterno, così da rendere chiari i flussi operativi in e out;
In conseguenza di ciò è opportuno individuare il profilo attuale, il quale si ottiene per mezzo della "gap analysis", rappresentata dalla differenza tra il profilo corrente ed il profilo target. Tale differenza restituisce come risultato anche le vulnerabilities.

Da questa operazione si acquisisce quindi il rischio intrinseco, che permette all'organizzazione di riconoscere le minacce capaci di causare incidenti o attacchi.

Definito il profilo target da raggiungere è essenziale intervenire sulla formazione del personale, l'awareness, e redigere una dettagliata procedura di utilizzo dei device mobili utilizzati in smart, attraverso la compilazione delle policies di riferimento, ad esempio BYOD, e delle postazioni di lavoro, oltre alla configurazione di un corretto utilizzo del sito e delle risorse web.

Contestualmente l'organizzazione è tenuta a nominare e definire le figure di riferimento, redigendo, anche in questo caso, le policies di governance imposte dalla normativa vigente.
In ultimo, al fine di prevenire e ridurre gli incidenti informatici, la società deve dotarsi di una procedura di incident response e business continuity.

La predisposizione di una procedura incident response rappresenta la pianificazione di un insieme di criteri, e risorse, capaci di rilevare il prima possibile attacchi, rimuoverne le cause, contenere gli effetti e ripristinare i sistemi allo stato originale per la business continuity, al fine di minimizzare l'impatto della minaccia sugli asset societari, sia dal punto di vista economico, che dal punto di vista reputazionale, sia per quanto riguarda i diritti e le libertà delle persone interessate da una possibile violazione, rispondendo alle esigenze ed agli obblighi dell'art. 32 e 33 del GDPR 679/2016.

In conclusione, l'analisi così prospettata, seppur generale, tende a delineare una dimensione integrata e pianificata dello smart working, con implicazioni dal punto di vista della compliance e della organizzazione aziendale.

Non solo, è un'opportunità per l'Azienda che vuole essere socialmente innovatrice e, pertanto, attenta alle dinamiche sociali (stakeholder e lavoratori) e ambientali, in conformità agli sviluppi e agli obiettivi europei di eco-sostenibilità.

La reingegnerizzazione dei processi aziendali include modifiche riguardanti sia le strutture sia le procedure definite in un ambiente aziendale. Le dimensioni umane, organizzative, tecnologiche che caratterizzano un'organizzazione possono cambiare attraverso il BPR. Utilizzando questo approccio, le organizzazioni possono cercare miglioramenti nelle prestazioni aziendali al fine di reagire in tempo utile, poiché questo è il modo migliore per rispondere alle richieste del mercato di oggi e di domani.

Vetrina