(linee guida per audit di sistemi di gestione) UNI EN ISO 19011:2018 (linee guida per audit di sistemi di gestione)
sistema di gestione Insieme di procedure, sistemi informativi e sistemi informatici dedicati al governo di un processo tipicamente operativo, produttivo o amministrativo.
NORME INTERNAZIONALI ISO ISO 9000: gestione della qualità ISO 14000: gestione ambientale ISO 45001: gestione della sicurezza e della salute nei luoghi di lavoro ISO 27000: gestione della sicurezza delle informazioni ISO 19011: gestione degli audit Adesione volontaria
ORGANISMI DI CERTIFICAZIONEj
AUDIT ( Le origini) “Un esame formale e ufficiale, e una verifica di libri contabili da parte di un qualificato verificatore” Origine: Auditus, atto dell’udire. Attraverso i secoli, il termine audit si diffuse, nella seconda metà del ‘900, dalla gestione amministrativa e finanziaria a tutta l’organizzazione, interessando sia l’area ambiente sia la qualità. Risultava per la direzione di un’azienda sempre più necessario compiere verifiche non di tipo occasionale ma condotte con una precisa metodologia. Negli anni ’70 si diffuse, presso le imprese del nel Nord America.
AUDITOR L'auditor deve essere Oggettivo Imparziale L’AUDIT E’ UNO STRUMENTO INDISPENSABILE PER IL MIGLIORAMENTO DELLE PRESTAZIONI AZIENDALI L'auditor deve essere Oggettivo Imparziale Non deve avere conflitti di ruolo Spiccata capacità comunicativa Professionalmente preparato Adeguate capacità e competenze Senza pregiudizi Trasparente AUDIT DI PRIMA PARTE AUDIT DI SECONDA PARTE AUDIT DI TERZA PARTE Audit interno Audit di fornitori esterni Audit di certificazione e/o di accreditamento Audit di altre parti interessate esterne Audit per fini legislativi, regolamentari e similari UNI EN ISO 19011:2018 UNI CEI EN ISO/IEC 17021-1:2015
UNI EN ISO 19011:2018 vs UNI CEI ISO/IEC 17021-1:2015 Gestisce audit di prima e seconda parte Dedica un intero capitolo alla gestione di un programma di audit L’appendice A contiene informazioni su HLS Gestisce l’audit di terza parte Dedica un solo paragrafo alla gestione di un programma di audit Tecniche di audit
REQUISITI AUDIT REQUISITI INTERNI REQUISITI ESTERNI I documenti interni illustrano come applicare i requisiti esterni ai processi, alle funzioni e alle singole attività. Essi descrivono, in sintesi, il sistema di gestione interno. REQUISITI ESTERNI Hanno origine al di fuori dell'organizzazione auditata e che possono essere: Nazionali Internazionali Governativi o relativi ai clienti Possono rientrare, nelle seguenti categorie: accordi internazionali norme regolamenti standard di settore simboli accettati a livello internazionale politiche aziendali requisiti dei clienti requisiti del mercato di riferimento
HLS High Level Structure Compatibilità tra tutte le norme: • titoli dei requisiti • sequenza dei requisiti • termini e definizioni HLS High Level Structure significa: • Terminologia, testo, definizioni, titoli e loro sequenza comuni; • Maggiore importanza al concetto di rischio. Tutti gli standard per sistemi di gestione presentano: • una struttura suddivisa in 10 punti principali • nell’ambito di ciascun punto, vi sono alcuni paragrafi e alcuni contenuti che devono essere presenti obbligatoriamente in tutti gli standard • i singoli standard possono aggiungere, ove necessario, requisiti specifici in relazione ai loro campi di applicazione.
10 PUNTI PRINCIPALI HLS Scopo e campo di applicazione 2 Riferimenti normativi 3 Termini e definizioni 4 Contesto dell’organizzazione - Conoscenza dell’organizzazione e del suo contesto - Conoscenza dei bisogni e delle aspettative delle parti interessate - Definizione del campo di applicazione del sistema di gestione - Sistema di gestione 5 Leadership - Leadership e commitment - Politica - Ruoli, responsabilità ed autorità dell’Organizzazione 6 Pianificazione - Azioni per indirizzare rischi ed opportunità - Oobiettivi e pianificazione per conseguirli 7 Supporto - Risorse - Competenze - Consapevolezza - Comunicazione - Informazione documentata 8 Attività operative - Pianificazione e controllo operativo 9 Valutazione delle prestazioni - Monitoraggio, misurazioni, analisi e valutazione - Audit interno 10 Miglioramento 10 PUNTI PRINCIPALI HLS Scopo e campo di applicazione Riferimenti normativi Termini e definizioni Contesto dell’organizzazione Leadership Pianificazione Supporto Attività operative Valutazione delle prestazioni Miglioramento
UNI EN ISO 19011:2018 (terza edizione) Approccio basato sul rischio Ampliamento della guida sulla gestione del programma di audit Ampliamento della guida sulla conduzione degli audit, in particolare sulla loro pianificazione Ampliamento dei requisiti generali per le competenze degli auditor Miglioramento della terminologia per renderla più orientata ai processi Rimozione dei requisiti specifici per le competenze degli auditor Estensione dell’Appendice A
Il Dott. Flavio Stella, lead auditor, riguardo i cambiamenti principali e i vantaggi delle nuove linee guida ISO 19011:2018 dice: “L’audit, in quanto processo indipendente e sistematico è un prezioso strumento di valutazione dell’adeguatezza del sistema di gestione di un’organizzazione. In particolare, per le organizzazioni che hanno deciso di adottare e/o vorranno adottare un sistema di gestione in conformità alle norme ISO 9001:2015/14001:2015/45001:2018/50001:2018, la nuova linea guida ISO 19011:2018 rappresenta un importante riferimento per adeguare la logica e la strutturazione degli audit adottando innanzitutto un approccio basato sul rischio nonché la gestione dei rischi e delle opportunità sin dal programma di audit, integrandosi perfettamente con l’intento delle nuove norme HLS di sviluppare il sistema di gestione partendo dall’analisi del contesto e delle parti interessate integrando i processi di business nei processi dell’organizzazione con la stessa logica risk based thinking. I cambiamenti principali di tale linea guida, inoltre, si concretizzano in una maggiore estensione della sezione sulla conduzione degli audit, con particolare riguardo alle fasi di pianificazione operativa e coordinamento degli stessi. Come conseguenza di tale estensione (più precisamente anche in coerenza allo sviluppo della serie EN ISO/IEC 17021) sono stati estesi anche i requisiti generali di competenza degli auditor con la finalità, ad esempio, di far si che il responsabile del gruppo di audit possa comprendere e discutere con l’alta direzione le questioni strategiche al fine di determinare se esse sono state prese in considerazione nella valutazione dei rischi ed opportunità dell’organizzazione.”
NORMA ISO 19011:2018 Con riferimento alla struttura della norma possiamo parlare delle seguenti voci Scopo e campo di applicazione Riferimenti normativi Termini e definizioni Principi dell’attività di audit Gestione di un programma di audit Conduzione di un audit Competenza e valutazione degli auditor Appendice A: guida aggiuntiva per gli auditor e per la pianificazione e la conduzione degli audit
SCOPO E CAMPO DI APPLICAZIONE È destinata ad una estesa gamma di potenziali utilizzatori, che comprendono: gli auditor le organizzazioni che attuano sistemi di gestione le organizzazioni che operano nella certificazione o nella formazione ed addestramento degli auditor le organizzazioni che operano nella certificazione di sistemi di gestione le organizzazioni che operano nell'accreditamento o nella normazione nel campo della valutazione della conformità. È applicabile: ad ogni tipo di organizzazione per altri tipi di audit
2. RIFERIMENTI NORMATIVI Nel presente documento non sono presenti riferimenti normativi
3. TERMINI E DEFINIZIONI 3.1 audit (audit), verifica ispettiva ISISO 19011:2012 20 termini ISO 19011:2018 26 termini 3.1 audit (audit), verifica ispettiva Processo sistematico, indipendente e documentato per ottenere evidenze degli audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri di audit sono stati soddisfatti. 3.2 audit combinato Quando due sistemi vengono sottoposti contemporaneamente all’audit. 3.3 audit congiunto Quando due o più organismi eseguono congiuntamente un audit. 3.4 programma di audit (audit programme) Insieme di uno o più audit pianificati per un arco di tempo definito ed orientati verso uno scopo specifico.
3.5 Campo di applicazione/ ampiezza dell’audit (audit scope) Estensione e limiti di un audit. NOTA L’ampiezza dell’audit normalmente comprende una descrizione delle localizzazioni fisiche, unità organizzative, attività e processi, come pure il periodo di tempo richiesto. 3.6 piano dell’audit (audit plan) Descrizione delle attività da effettuare sul campo e delle disposizioni per la conduzione di un audit. 3.7 criteri di audit (audit criteria) Insieme di politiche, procedure o requisiti utilizzati come riferimento. 3.9 evidenze dell’audit Registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri di audit e verificabili. NOTA L’ evidenza di un audit può essere qualitativa o quantitativa.
3.10 rilievi dell’audit (audit findings) Risultati della valutazione delle evidenze dell’audit raccolte rispetto ai criteri di audit . NOTA I rilievi dell’audit possono risultare conformi o non conformi rispetto ai criteri di audit, o segnalare opportunità di miglioramento. 3.11 conclusioni dell’audit (audit conclusion) Esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli obiettivi dell’audit e tutti i rilievi dell’audit. 3.12 committente dell’audit (audit client) Organizzazione o persona che richiede un audit. NOTA Il committente può essere il valutando o qualsiasi altra organizzazione che abbia un diritto regolamentare o contrattuale di richiedere un audit. 3.13 valutando (auditee) Organizzazione oggetto dell’audit.
3.14 gruppo di audit (audit team) Uno o più auditor che eseguono un audit, supportati, se richiesto, da esperti tecnici. NOTA 1 Un auditor del gruppo di audit è generalmente nominato responsabile del gruppo. NOTA 2 Il gruppo di audit può comprendere auditor in addestramento. 3.15 auditor (auditor), valutatore Persona che ha la competenza per effettuare un audit. 3.16 esperto tecnico (technical expert) Persona che fornisce conoscenze o competenze specifiche al gruppo di audit. NOTA 1 La conoscenza o competenza specifica sono riferite all’ organizzazione, al processo, all’attività da sottoporre ad audit, alla lingua propria o alla cultura attinenti. NOTA 2 Un esperto tecnico non può agire come auditor nel gruppo di audit. 3.17 osservatore Persona che accompagna il gruppo di audit ma non effettua l’audit 3.18 sistema di gestione Sistema per stabilire politica ed obiettivi e per conseguire tali obiettivi 3.19 rischio Effetto dell’incertezza sugli obiettivi
3.22 competenza (competente) 3.20 conformità Rispetto delle caratteristiche previste 3.21 non conformità Dissomiglianza di forma 3.22 competenza (competente) Dimostrata capacità di saper utilizzare conoscenze ed abilità. 3.23 requisito Esigenza o aspettativa che può essere espressa, generalmente implicita o cogente 3.24 processo Insieme di attività correlate o interagenti che trasformano elementi in ingresso (input) in elementi in uscita (output), aggiungendo, se possibile, valore all’organizzazione. 3.25 prestazioni Il risultato conseguito da un singolo individuo, un gruppo, un’organizzazione, un processo o un’attività 3.26 efficacia Rapporto tra i risultati ottenuti e le risorse utilizzate per ottenerli
4. PRINCIPI Integrità (onestà e responsabilità): il fondamento della professionalità; Presentazione imparziale: obbligo di riferire in modo veritiero e accurato; Dovuta professionalità: l'applicazione di diligenza e giudizio nel corso dell'attività di audit; Riservatezza: sicurezza delle informazioni; Indipendenza: la base per l'imparzialità dell'audit e l'obiettività delle conclusioni dell'audit; Approccio basato sull'evidenza (o “sulle prove”): il metodo razionale per raggiungere conclusioni dell'audit affidabili e riproducibili in un processo di audit sistematico; Approccio basato sul rischio (risk-based approach): un approccio all'audit che considera rischi e opportunità.
INTEGRITÀ, COMPORTAMENTO ETICO: fondamento delle professionalità Gli auditor dovrebbero: lavorare con onestà, diligenza e responsabilità osservare i requisiti legali dimostrare la propria competenza essere imparziali tener conto di eventuali influenze esterne nella propria valutazione b) PRESENTAZIONE IMPARZIALE: rapporti veritieri e accurati I risultati dell’audit dovrebbero: riflettere in modo accurato e veritiero l’attività svolta segnalare ostacoli incontrati e divergenze irrisolte con l’organizzazione contenere comunicazioni veritiere, accurate, obiettive, tempestive, chiare e complete Fiducia, integrità, riservatezza e discrezione sono essenziali per l’attività di audit.
c) DOVUTA PROFESSIONALITÀ: applicazione di diligenza e giudizio Gli auditor pongono un’ attenzione di livello adeguato all’importanza del compito che essi svolgono e alla fiducia riposta in loro dai committenti dell’audit e dalle altre parti interessate. attenzione adeguata all’importanza del compito da svolgere e alla fiducia in loro riposta emettere giudizi ponderati in tutte le situazioni d) RISERVATEZZA: sicurezza delle informazioni Non divulgazione e non utilizzo, a proprio favore, delle informazioni sensibili raccolte nello svolgimento del proprio lavoro e) INDIPENDENZA: base per l’imparzialità e l’obiettività delle conclusioni dell’audit Gli auditor sono indipendenti dall’attività oggetto dell’audit e sono liberi da pregiudizi e conflitto d’interesse. Gli auditor conservano uno stato di obiettività di pensiero attraverso il processo di audit per assicurare che i rilievi e le conclusioni dell’audit saranno basati solo sull’evidenza. gli auditor dovrebbero essere il più possibile indipendenti ed agire liberi da pregiudizi negli audit interni delle piccole organizzazioni, sebbene impossibile, si deve comunque cercare di favorire l’obiettività
f) APPROCCIO BASATO SULL’EVIDENZA: metodo base razionale per raggiungere conclusioni dell’audit affidabili e riproducibili in un processo di audit sistematico. L’evidenza dell’audit è verificabile. Essa si basa su campioni delle informazioni disponibili, poiché un audit è effettuato in un periodo di tempo limitato e con risorse limitate. L’appropriato uso del campionamento è strettamente connesso col livello di confidenza che può essere riposto sulle conclusioni dell’audit. RISULTATI VERIFICABILI AFFIDABILI BASATI SU CAMPIONI
G) APPROCCIO BASATO SUL RISCHIO ( risck based approach) Indica l’approccio all’audit che si basa su rischi ed opportunità. Il risk-based approach dovrebbe sostanzialmente: influenzare la pianificazione, influenzare la conduzione influenzare il reporting dell’audit Gli obiettivi essenziali sono: fornire assicurazione sulla credibilità dei processi per identificare rischi e opportunità; fornire assicurazione che rischi e opportunità sono correttamente determinati e gestiti; riesaminare come l’organizzazione affronta i rischi e le opportunità determinate. Esso dovrebbe essere considerato durante l’intero audit, incluse le interviste al top management. Un auditor dovrebbe agire in accordo ai seguenti step e raccogliere evidenze obiettive su: a) inputs usati dall’organizzazione per determinare i propri rischi e opportunità, che possono includere: analisi dei fattori esterni e interni; indirizzi strategici dell’organizzazione; parti interessate, relative al campo specifico del Sistema di gestione e loro requisiti; potenziali fonti di rischio quali gli aspetti ambientali, i rischi alla sicurezza, etc. b) metodi con cui rischi e and opportunità sono valutate, che possono differire tra diversi settori e discipline.
5. GESTIONE DI UN PROGRAMMA DI AUDIT Generalità Avvio degli audit Conduzione del riesame della documentazione Preparazione delle attività di audit Conduzione delle attività di audit Monitoraggio del programma di audit Completamento del programma di audit Conduzione di azioni a seguire dell’audit
5.1 Generalità Il programma di audit può comprendere audit con una varietà di obiettivi. L’alta direzione dell’organizzazione dovrebbe garantire l’autorità per la gestione del programma di audit. I responsabili della gestione dell’attività di audit dovrebbero: stabilire gli obiettivi e l’estensione del programma di audit; stabilire le responsabilità, le risorse e le procedure; assicurare l’attuazione del programma di audit; tenere sotto controllo, riesaminare e migliorare il programma di audit; assicurare che siano conservate appropriate registrazioni del programma di audit
5.2 Avvio dell'audit 5.2.1 Nomina del responsabile del gruppo di audit I responsabili della gestione del programma di audit dovrebbero nominare il responsabile del gruppo di audit per lo specifico audit. 5.2.2 Definizione degli obiettivi, del campo e dei criteri di audit Gli obiettivi dell'audit definiscono ciò che deve essere portato a termine dall'audit e possono comprendere quanto segue: a) determinazione dell'estensione della conformità del sistema di gestione dell'organizzazione oggetto dell'audit rispetto ai criteri di audit; b) valutazione della capacità del sistema di gestione di assicurare la conformità con i requisiti cogenti e contrattuali; c) valutazione dell'efficacia del sistema di gestione nel conseguire obiettivi specificati; d) identificazione di aree di potenziale miglioramento del sistema di gestione. Il campo dell’audit descrive l’estensione ed i limiti dell’audit I criteri di audit sono utilizzati come riferimento rispetto a cui si determina la conformità 5.2.3 Determinazione della fattibilità dell'audit La fattibilità dell'audit dovrebbe essere determinata prendendo in esame fattori quali la disponibilità di informazioni sufficienti ed appropriate per pianificare l'audit, adeguata collaborazione da parte dell'organizzazione oggetto dell'audit, tempo e risorse adeguati. Qualora l'audit non sia fattibile, dovrebbe essere proposta al committente dell'audit un'alternativa, a seguito di consultazione con l'organizzazione oggetto dell'audit.
5.2.4 Costituzione del gruppo di audit Quando si decidono la dimensione e la composizione del gruppo di audit, si dovrebbe considerare quanto segue: gli obiettivi, il campo, i criteri e la durata prevista dell'audit; se si tratta di un audit combinato o congiunto; la competenza complessiva del gruppo necessaria per conseguire gli obiettivi; i requisiti cogenti, contrattuali e di accreditamento/certificazione, se applicabili; la necessità di assicurare l'indipendenza del gruppo dalle attività da sottoporre ad audit e di evitare conflitto di interesse; la capacità dei membri del gruppo di audit di interagire in modo efficace con l'organizzazione oggetto dell'audit e di lavorare insieme; la lingua dell'audit e la comprensione delle particolari caratteristiche sociali e culturali dell'organizzazione oggetto dell'audit. Il processo per assicurare la competenza complessiva del gruppo di audit comprende: l'identificazione delle conoscenze e delle abilità necessarie per conseguire gli obiettivi dell'audit la scelta dei membri del gruppo di audit tale che la totalità delle conoscenze e delle abilità siano presenti nel gruppo di audit Sia il committente dell'audit sia l'organizzazione oggetto dell'audit possono richiedere la sostituzione di particolari membri del gruppo di audit con motivazioni ragionevoli basate sui principi dell'attività di audit descritti.
5.2.5 Presa di contatto iniziale con l'organizzazione oggetto dell'audit II contatto iniziale per l'audit con l'organizzazione può essere formale o informale, ma dovrebbe essere stabilito dai responsabili della gestione del programma di audit o dal responsabile del gruppo di audit. Lo scopo del contatto iniziale consiste in: stabilire canali di comunicazione con il rappresentante dell'organizzazione, confermare l'autorità per la conduzione dell'audit, fornire informazioni sulla tempistica e sulla composizione del gruppo di audit, richiedere l'accesso ai documenti pertinenti, incluse le registrazioni, determinare le regole di sicurezza applicabili sul posto, predisporre quanto necessario per l'audit, concordare la proposta di osservatori e sulla necessità di guide per il gruppo.
5.3 Conduzione del riesame della documentazione La documentazione dell'organizzazione oggetto dell'audit dovrebbe essere riesaminata prima delle attività di audit sul posto per determinare la conformità del sistema, come documentato, con i criteri di audit. La documentazione può comprendere documenti e registrazioni del sistema di gestione pertinenti, e rapporti di audit precedenti. Il riesame dovrebbe prendere in considerazione la dimensione, la natura e la complessità dell'organizzazione, nonché gli obiettivi ed il campo dell'audit. 5.4 Preparazione delle attività di audit sul posto 5.4.1 Preparazione del piano dell'audit II responsabile del gruppo di audit dovrebbe preparare un piano dell'audit per fornire la base per l'accordo sulla conduzione dell'audit, tra il committente dell'audit, il gruppo di audit e l'organizzazione oggetto dell'audit. Il piano dovrebbe essere sufficientemente flessibile da permettere modifiche, dovrebbe essere riesaminato e accettato dal committente dell’audit e presentato all’organizzazione oggetto dell’audit prima che inizino le attività di audit sul posto.
5.4.2 Assegnazione dei compiti al gruppo di audit II responsabile del gruppo di audit dovrebbe assegnare a ciascun membro del gruppo la responsabilità di sottoporre ad audit specifici processi del sistema di gestione, funzioni, luoghi, aree o attività. Nell'assegnare tali compiti si dovrebbe tener conto delle esigenze di indipendenza e di competenza dell'auditor. Man mano che l'audit progredisce possono essere effettuate delle modifiche alle assegnazioni dei compiti, per assicurare il raggiungimento degli obiettivi dell'audit. 5.4.3 Preparazione dei documenti di lavoro I membri del gruppo di audit dovrebbero riesaminare le informazioni pertinenti i loro incarichi di audit e preparare documenti di lavoro come necessario per fini di riferimento e di registrazione delle attività di audit. Tali documenti di lavoro possono comprendere liste di riscontro e piani di campionamento dell'audit, moduli per registrare le informazioni, quali evidenze di supporto, risultanze dell'audit e registrazioni di riunioni. I documenti di lavoro dovrebbero essere conservati almeno fino al termine dell’audit.
5.5 Conduzione delle attività di audit sul posto 5.5.1 Conduzione della riunione di apertura Dovrebbe essere tenuta una riunione di apertura con la direzione dell'organizzazione oggetto dell'audit o, ove appropriato, con i responsabili delle funzioni o dei processi da sottoporre ad audit. Lo scopo di una riunione di apertura è di: confermare il piano dell'audit, fornire una breve sintesi di come verranno eseguite le attività di audit, confermare i canali di comunicazione, offrire all'organizzazione oggetto dell'audit l'opportunità di porre domande. 5.5.2 Comunicazione durante gli audit A seconda del campo e della complessità dell'audit, può essere necessario adottare, provvedimenti formali per la comunicazione all'interno del gruppo di audit e con l'organizzazione oggetto dell'audit. Il gruppo di audit dovrebbe consultarsi periodicamente per scambiarsi informazioni, valutare il progresso e riassegnare compiti tra gli auditor, qualora ne fosse necessario. Durante l'audit, il responsabile del gruppo di audit dovrebbe comunicare periodicamente il progredire dell'audit ed eventuali problemi all'organizzazione oggetto dell'audit ed al committente dell'audit, se opportuno. Eventuali problemi riguardanti un aspetto al di fuori del campo dell'audit dovrebbero essere annotati e rapportati al responsabile del gruppo di audit, per la possibile comunicazione al committente dell'audit ed all'organizzazione oggetto dell'audit
5.5.3 Ruoli e responsabilità di guide ed osservatori Guide ed osservatori possono accompagnare il gruppo di audit, ma non sono parte di esso e non dovrebbero interferire con l'esecuzione dell'audit Le loro responsabilità possono comprendere: stabilire contatti e tempistica per le interviste; organizzare visite a parti specifiche del luogo o dell'organizzazione; assicurare che le regole concernenti la sicurezza sui posto e le procedure di security siano conosciute e rispettate dai membri del gruppo di audit; presenziare all'audit in luogo dell'organizzazione oggetto dell'audit; fornire chiarimenti o assistenza sulla raccolta delle informazioni. 5.5.4 Raccolta e verifica delle informazioni Le informazioni relative agli obiettivi, dovrebbero essere raccolte mediante opportuno campionamento durante l'audit e dovrebbero essere verificate. Solo le informazioni verificabili possono costituire evidenze dell'audit. Le evidenze dell'audit dovrebbero essere registrate. Le evidenze dell'audit sono basate su campioni delle informazioni disponibili. Esiste quindi un elemento di incertezza nell'attività di audit, per cui coloro che traggono le conclusioni dell'audit dovrebbero essere consapevoli di questa incertezza.
Processo dalla raccolta delle informazioni fino al raggiungimento delle conclusioni dell'audit FONTI DI INFORMAZIONI RACCOLTA MEDIANE APPROPRIATO CAMPIONAMENTO E VERIFICA EVIDENZE DELL’AUDIT VALUTAZIONE RISPETTO AI CRITERI DI AUDIT RISULTANZE DELL’AUDIT RIESAME CONCLUSIONI DELL’AUDIT METODI PER RACCOGLIERE INFORMAZIONI: INTERVISTE, OSSERVAZIONI, RIESAME DEI DOCUMEMTI
5.5.5 Elaborazione delle risultanze dell'audit Le evidenze dell'audit dovrebbero essere valutate a fronte dei relativi criteri per dar luogo alle risultanze dell'audit. Le risultanze dell'audit possono indicare sia conformità, sia non conformità a fronte dei criteri di audit. Quando specificato dagli obiettivi dell'audit, le risultanze dell'audit possono individuare un'opportunità di miglioramento. Il gruppo di audit dovrebbe riunirsi quando necessario per riesaminare le risultanze dell'audit in fasi appropriate nel corso dell'audit. 5.5.6 Preparazione delle conclusioni dell'audit II gruppo di audit dovrebbe consultarsi prima dell'incontro di chiusura per: a) riesaminare le risultanze dell'audit ed altre eventuali appropriate informazioni raccolte durante l'audit a fronte degli obiettivi dell'audit b) concordare le conclusioni dell'audit, tenendo conto dell'incertezza inerente il processo di audit, c) preparare raccomandazioni, se richiesto dagli obiettivi dell'audit, d) discutere sulle azioni a seguire, se incluse nel piano di audit. 5.5.7 Conduzione della riunione di chiusura Si dovrebbe tenere una riunione di chiusura, presieduta dal responsabile del gruppo di audit, per presentare le risultanze e le conclusioni dell'audit in maniera tale che queste siano capite e conosciute da parte dell'organizzazione e per concordare, il periodo di tempo da concedere all'organizzazione stessa per presentare un piano di azioni correttive e preventive.
5.6 Monitoraggio del programma di audit 5.6.1 Preparazione del rapporto di audit Il responsabile del gruppo di audit dovrebbe assumersi la responsabilità della preparazione e dei contenuti del rapporto di audit. Il rapporto di audit dovrebbe fornire una completa, accurata, concisa e chiara registrazione dell'audit 5.6.2 Approvazione e distribuzione del rapporto di audit II rapporto di audit dovrebbe essere emesso entro il periodo di tempo concordato. Se questo non è possibile, le ragioni del ritardo dovrebbero essere comunicate al committente dell'audit e si dovrebbe concordare una nuova data di emissione. I membri del gruppo di audit e tutti i destinatari del rapporto dovrebbero rispettare e salvaguardare la riservatezza del rapporto
5.7 Completamento dell'audit L'audit è completato quando tutte le attività descritte nel piano di audit sono state eseguite ed il rapporto di audit approvato è stato distribuito. I documenti riguardanti l'audit dovrebbero essere conservati o distrutti a seguito di accordi fra le parti partecipanti e secondo le procedure del programma di audit ed i requisiti applicabili cogenti e contrattuali. Se non richiesto per legge, il gruppo di audit ed i responsabili della gestione del programma di audit non dovrebbero divulgare i contenuti dei documenti, ne eventuali altre informazioni raccolte nel corso dell'audit, o il rapporto stesso, ad altre parti, senza l'approvazione del committente dell'audit e dell'organizzazione oggetto dell'audit. Se è richiesta la divulgazione dei contenuti di un documento dell'audit, il committente dell'audit e l'organizzazione oggetto dell'audit dovrebbero esserne informati al più presto possibile. 5.8 Conduzione di azioni a seguire dell'audit Le conclusioni dell'audit possono indicare l'esigenza di azioni correttive, preventive e, se applicabile, di miglioramento. Tali azioni a seguire sono generalmente decise ed effettuate dall'organizzazione oggetto dell'audit secondo tempistiche concordate e non sono considerate come facenti parte dell'audit. L'organizzazione oggetto dell'audit dovrebbe tenere informato il committente dell'audit dello stato di queste azioni a seguire. Il completamento e l'efficacia delle azioni correttive dovrebbero essere verificati. Questa verifica può costituire parte di un audit successivo. Il programma di audit può specificare azioni a seguire da parte dei mèmbri del gruppo di audit. Tali azioni a seguire sono considerate valore aggiunto in quanto utilizzano la loro competenza. In tali casi, dovrebbe essere prestata attenzione per mantenere l'indipendenza in successive attività di audit.
6. CONDUZIONE DI UN AUDIT Attività necessarie: contatto con l'organizzazione oggetto dell'audit; riesame delle informazioni documentate; pianificazione assegnazione di ruoli e responsabilità a guide e osservatori riunione di apertura comunicazione durante l’audit raccolta e verifica delle informazioni valutazione delle prove raccolte durante l’audit riunione di chiusura preparazione e distribuzione del rapporto di audit conduzione di eventuali audit straordinari Rischi : Il mancato raggiungimento degli obiettivi di audit a causa di una pianificazione scorretta; Il comportamento negativo di un auditor in materia di salute e sicurezza sul lavoro, ambiente e qualità (per esempio, contaminazione di una camera bianca).
7. COMPETENZE DEGLI AUDITOR Ambiente Conoscenze ed abilità specifiche ambientali Qualità Conoscenze ed abilità specifiche per la qualità Conoscenze ed abilità generali GRADO DI ISTRUZIONE ESPERIENZA DI LAVORO FORMAZIONE ED ADDESTRAMETO COME AUDITOR ESPERIENZA DI AUDIT CARATTERISTICHE PERSONALI
Miglioramento della conoscenza FASI DI VALUTAZIONE Quindi questa valutazione continua degli auditor dovrebbe essere: Pianificata Attuata Registrata Miglioramento della conoscenza
8. APPENDICE A: GUIDA AGGIUNTIVA PER GLI AUDITOR E PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT l’Appendice A della ISO 19011:2018 è l’unico documento ISO che propone suggerimenti per: audit del contesto, audit della leadership e dell'impegno, audit dei rischi e opportunità, Ciclo di vita, audit della catena di fornitura. La norma si chiude con un’appendice con maggiori dettagli su alcune attività di audit. GUIDA AGGIUNTIVA PER GLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT In particolare ... A8 contesto A9 leadership A10 rischio Tali indicazioni risultano utili a tutti gli Auditor, di qualsiasi tipo, per tutte le norme di Sistema basate su HSL.
A9 Audit della Leadership A8 Audit del Contesto Molte norme di sistemi di gestione richiedono che un'organizzazione determini il proprio contesto, comprese le esigenze e aspettative delle parti interessate rilevanti ed i fattori esterni e interni. Gli auditor dovrebbero: Confermare che sono stati sviluppati processi adeguati allo scopo e che essi sono utilizzati in modo efficace Possedere una conoscenza specifica del settore Comprendere gli strumenti di gestione che le organizzazioni possono utilizzare per giudicare l'efficacia dei processi utilizzati per determinare il contesto. A9 Audit della Leadership Ottenere evidenze oggettive circa il grado di coinvolgimento dell'alta direzione nel processo decisionale riguardante il sistema di gestione e di come la stessa dimostra il proprio impegno nell'assicurarne l'efficacia Mirare a intervistare l'alta direzione per confermare che essa abbia un'adeguata comprensione degli elementi specifici della disciplina pertinenti al proprio sistema di gestione, insieme al contesto in cui opera l'organizzazione, per poter assicurare che il sistema di gestione consegua i risultati attesi.
A10 audit del Rischio Gli obiettivi fondamentali per tale incarico di audit sono: Identificare i rischi e le opportunità Gestire i rischi e le opportunità affrontare i rischi e opportunità Un auditor dovrebbe comportarsi in conformità alle seguenti fasi e raccogliere evidenze oggettive quali: a) Input utilizzati dall'organizzazione nella determinazione dei rischi e opportunità, tra cui: 1. l'analisi dei fattori esterni e interni; 2. Indirizzi strategici dell'organizzazione; 3. le parti interessate, relative al sistema di gestione specifico (di una disciplina) e di loro requisiti; 4. le potenziali fonti di rischio b) Metodo di valutazione dei rischi e opportunità, che può variare tra le discipline e settori.
CONCLUSIONI In conclusione possiamo dire che attualmente i documenti di supporto per valutare i SISTEMI DI GESTIONE a vario titolo sono numerosi e dettagliati. Tali documenti rappresentano anche un riferimento per chi ha il compito di sviluppare e gestire un SISTEMA ed eventualmente la sua certificazione da parte di un organismo di certificazione (OdC) accreditato. L a nuova ISO 19011:2018 può essere vista come una “pietra miliare” per l’audit di sistema,perché amplia le nuove opportunità di crescita professionale.
GRAZIE PER LA VOSTRA ATTENZIONE Sofia D’Urso Carmen Di Stola Arianna Duonnolo Maria Lucenteforte