ISO 19011: la norma alla base del lavoro degli auditor
Impariamo a conoscere la ISO 19011:2018 e a capire come utilizzarla al meglio
Approccio basato sul rischio
La revisione del 2018 della ISO 19011 ha trasformato radicalmente l'auditing dei sistemi di gestione introducendo il pensiero basato sul rischio come settimo principio fondamentale, ampliando l'approccio da una prospettiva focalizzata sulla conformità a una metodologia strategica e generatrice di valore che si allinea con gli standard moderni dei sistemi di gestione e modificando il modo in cui gli audit vengono pianificati, condotti e riportati..
Questo principio richiede agli auditor di considerare i rischi e le opportunità durante tutto il processo di audit, influenzando sostanzialmente la pianificazione, la conduzione e il reporting per garantire che gli audit si concentrino su questioni significative per il cliente dell'audit e sul raggiungimento degli obiettivi del programma di audit.
L'approccio basato sul rischio opera su tre livelli:
- gestione del programma di audit
- pianificazione dei singoli audit
- selezione degli auditor
Le organizzazioni che implementano questo principio allocano risorse alle aree a rischio più elevato, ottenendo audit più efficaci che generano maggior valore.
Il programma dell'audit
Strutturare una buona pianificazione
La norma applica il pensiero basato sul rischio alla gestione stessa del programma di audit, richiedendo alle organizzazioni di identificare e valutare i rischi del programma, inclusi una pianificazione inadeguata, risorse insufficienti, lacune nella competenza, errori nella comunicazione e scarso coordinamento.
Le opportunità che offre un buon programma dell'audit includono l'ottimizzazione della logistica e l'abbinamento delle competenze degli auditor agli obiettivi della verifica. Se gli audit non possono essere adeguatamente dotati di risorse per raggiungere i loro obiettivi, la norma li dichiara non fattibili, richiedendo modifiche allo scopo, alle risorse o agli obiettivi prima di procedere. Questo rappresenta un cambiamento fondamentale rispetto agli approcci tradizionali in cui gli audit procedevano indipendentemente dai vincoli di risorse.
Il capitolo 5 della ISO 19011:2018 struttura la gestione del programma di audit attorno al ciclo Plan-Do-Check-Act integrato con il pensiero basato sul rischio.
La fase di pianificazione inizia con la definizione degli obiettivi del programma di audit che si allineano con la direzione strategica dell'organizzazione e supportano la politica del sistema di gestione. Obiettivi efficaci considerano le esigenze degli stakeholder, le caratteristiche dei processi, i requisiti del sistema di gestione, le esigenze di valutazione dei fornitori esterni, gli indicatori di prestazione e i rischi e le opportunità identificati.
Determinare l'estensione del programma di audit implica l'analisi di molteplici fattori, tra cui la dimensione e la struttura organizzativa, il campo di applicazione e la maturità del sistema di gestione, i requisiti normativi, la complessità e criticità dei processi, i risultati degli audit precedenti e la storia delle prestazioni, le modifiche ai prodotti, ai processi o ai sistemi.
La valutazione del rischio condotta in questa fase identifica sia i rischi che le opportunità a livello di programma, con le organizzazioni che documentano i risultati in un registro dei rischi che include probabilità, impatto, priorità, azioni di mitigazione e responsabili del rischio. Il calcolo delle risorse deve tenere conto del budget, dell'allocazione del tempo, delle risorse umane con una competenza appropriata, dei requisiti relativi al viaggio (se si lavora in aziende multisede), dell'infrastruttura tecnologica per l'auditing remoto, degli strumenti e delle attrezzature per gli audit, della gestione delle informazioni documentate e dei requisiti delle strutture per le attività di audit.
Stabilire il programma di audit richiede la definizione di ruoli e responsabilità chiari. Il responsabile del programma di audit garantisce la competenza del team, stabilisce i processi di coordinamento, sviluppa il calendario degli audit, implementa i sistemi di valutazione degli auditor, gestisce i canali di comunicazione, stabilisce le procedure di risoluzione di eventuali controversie, supervisiona le attività di follow-up, garantisce i meccanismi di reporting, mantiene la documentazione del programma, monitora e rivede le prestazioni, migliora continuamente il programma, comunica con gli stakeholder e richiede l'approvazione della Direzione.
COMPETENZE AVANZATE
Questo ruolo richiede competenze che vanno oltre le capacità di auditing di base, incluse la capacità di gestione del rischio, competenze di project management e conoscenze di informatica e della comunicazione per supportare i moderni metodi di verifica.
Implementare i singoli audit richiede sia struttura che flessibilità
Quando si implementa il programma di audit, le organizzazioni devono definire obiettivi, campo di applicazione e criteri specifici per ciascuna verifica.
Gli obiettivi dei singoli audit includono:
- la determinazione della conformità ai criteri di audit
- la valutazione della capacità di soddisfare i requisiti
- la valutazione dell'efficacia nel raggiungimento dei risultati previsti
- l'identificazione di opportunità di miglioramento
La definizione del campo di applicazione specifica quali aree organizzative, processi, attività e periodi di tempo copre l'audit, mentre i criteri identificano i requisiti specifici rispetto ai quali l'audit misura le prestazioni, come i requisiti ISO 9001:2015, le specifiche del cliente o le procedure interne.
La selezione del metodo di audit rappresenta una decisione critica che bilancia efficacia, efficienza e praticabilità. La Tabella A.1 della ISO 19011:2018 confronta in modo completo i metodi di audit in loco rispetto a quelli remoti, riconoscendo che entrambi gli approcci hanno vantaggi distinti. I metodi in loco eccellono nell'osservazione diretta dei processi fisici, delle condizioni delle strutture e dell'ambiente di lavoro, consentendo agli auditor di osservare le attività in prima persona, condurre interviste improvvisate e verificare i controlli fisici. I metodi remoti offrono vantaggi tra cui una riduzione dei costi e dei tempi di viaggio, una maggiore flessibilità nella pianificazione, la possibilità di includere esperti geograficamente dispersi, un'interruzione delle attività dell'auditato ridotta e benefici dal punto di vista ambientale.
Le organizzazioni adottano sempre più un approccio combinato, utilizzando metodi remoti per l'esame dei documenti, le riunioni di apertura e i colloqui con la Direzione e riservando le visite in loco per l'osservazione dei processi, l'ispezione delle attrezzature e la verifica dei controlli fisici.
La gestione dei risultati chiude il ciclo sul miglioramento continuo
Un'implementazione efficace del programma di audit richiede anche la gestione sistematica dei risultati delle verifiche.
Il responsabile del programma di audit valuta se i singoli audit hanno raggiunto i loro obiettivi, rivede i verbali e li approva valutandone l'accuratezza e la completezza, rivede l'efficacia delle azioni correttive intraprese, distribuisce i report agli stakeholder e determina i requisiti per gli audit di follow-up.
Questo processo di gestione dei risultati trasforma gli audit in un sistema di miglioramento integrato.
Il monitoraggio del programma di audit implica la valutazione continua del raggiungimento degli obiettivi del programma. Gli indicatori chiave di prestazione forniscono un'evidenza oggettiva dell'efficacia del programma.
É buona norma tenere traccia del tasso di completamento degli audit, del tasso di raggiungimento degli obiettivi, dei punteggi di soddisfazione degli stakeholder e della percentuale di risultati ripetuti.
Altri indicatori che si possono aggiungere includono percentuali di conformità rispetto a quanto programmatoo, valutazioni delle prestazioni del team di audit, valutazioni della qualità dei verbali di audit e analisi del feedback degli stakeholder.
I risultati dell'audit devono essere specifici, basati su evidenze e attuabili
Per fare un'attenta analisi delle informazioni raccolte, gli auditor devono confrontare le evidenze con i criteri di audit per identificare le conformità, le non conformità e le opportunità di miglioramento.
I risultati devono essere documentati utilizzando un linguaggio chiaro che specifichi il requisito relativo, l'evidenza osservata, l'eventuale deviazione dai requisiti e faccia riferimento a documenti, persone, date e ubicazioni specifici.
Il tradizionale formato "Dovrebbe essere / Riscontrato" fornisce chiarezza, indicando ciò che dice il requisito seguito da ciò che è stato effettivamente osservato.
I risultati vanno classificati per gravità, come non conformità se manca il rispetto dei requisiti e come osservazioni se ci sono problemi che potrebbero verificarsi o opportunità di miglioramento.
Durante l'audit, gli auditor comunicano progressivamente i risultati all'auditato invece che sorprenderlo durante la riunione di chiusura.
Formulare le conclusioni richiede la sintesi di tutti i risultati per valutare la conformità complessiva, l'efficacia e la maturità del sistema. Le conclusioni spiegano se gli obiettivi dell'audit sono stati raggiunti, l'entità della conformità ai criteri dell'audit, l'efficacia del sistema di gestione nel raggiungimento dei risultati previsti, le aree che funzionano bene e meritano un riconoscimento e i problemi sistemici che richiedono l'attenzione della Direzione.
Sette principi costituiscono il fondamento di un audit efficace
Un processo di auditing efficace si basa su:
- l'integrità che richiede agli auditor di svolgere il lavoro in modo etico, onesto e responsabile, intraprendendo le verifiche solo quando competenti e svolgendo il lavoro in modo imparziale
- la presentazione equa obbliga gli auditor a riportare in modo veritiero e accurato com'e 'è andata la verifica, segnalando eventuali ostacoli
- la diligenza professionale richiede agli auditor di applicare un giudizio commisurato all'importanza del compito, formulando pareri ragionati in tutte le situazioni. Ciò significa prepararsi accuratamente prima degli audit, porre domande approfondite, verificare adeguatamente le informazioni, evitare conclusioni premature e considerare contesto e circostanze
- la riservatezza richiede di tenere al sicuro le informazioni, esercitare una certa discrezione nel loro uso e nella loro protezione e non utilizzarle in maniera inappropriata
- l'indipendenza è la base dell'imparzialità e dell'obiettività perché richiede agli auditor di essere indipendenti dalle attività oggetto di verifica a pregiudizi e conflitti di interesse
- l'approccio basato sull'evidenza fornisce un metodo razionale per raggiungere conclusioni affidabili e riproducibili. L'evidenza dell'audit deve essere verificabile e basata su un campionamento appropriato delle informazioni disponibili
- l'approccio basato sul rischio richiede agli auditor di concentrarsi sulle questioni importanti per il cliente dell'audit e sul raggiungimento degli obiettivi del programma, dando priorità alle aree a rischio maggiore e allocando più tempo ai processi critici
LE RIUNIONI DI APERTURA
Il responsabile del team della verifica presenta i membri del team e i loro ruoli, conferma gli obiettivi, il campo di applicazione e i criteri dell'audit, spiega i metodi e i processi da seguire, stabilisce i canali di comunicazione e i punti di contatto, richiede le risorse e le strutture necessarie, conferma gli accordi sulla riservatezza e fornisce l'opportunità di fare domande.