AUDIT ISO 9001 - EVIDENZE OGGETTIVE E CONCLUSIONI

Una delle preoccupazioni più frequenti degli auditor interni relativamente alla ISO 9001:2015 è come verificare l'efficacia di un sistema di gestione della qualità che ha pochissima documentazione. La ISO 9001:2015, infatti, non include molti requisiti specifici relativi alle procedure da documentare e non richiede un manuale della qualità, tuttavia richiede "informazioni documentate" relative a una serie di requisiti.
Potrebbe sembrare che molti dei nuovi requisiti quali quelli relativi al contesto dell'organizzazione, all'attenzione agli stakeholder, alle azioni per affrontare rischi e opportunità, alla leadership o alla conoscenza dell'organizzazione siano difficili da sottoporre ad un audit senza documenti che mostrino come funzionano. La ISO 9000:2015 definisce l'audit come un "processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle con obiettività, al fine di stabiulire in quale misura i criteri dell'audit sono soddisfatti" e definisce i criteri di un audit come un "insieme di politiche, procedure o requisiti utilizzati come riferimento rispetto ai quali si confrontano le evidenze oggettive". Infine, definisce l'evidenza oggettiva ai fini dell'audit come "una registrazione, dichiarazione di fatto o altra informazione che sia pertinente ai criteri dell'audit e verificabile". Da queste definizioni potrebbe sembrare che gli elementi probatori e i criteri dell'audit debbano essere documentati, tuttavia le domande che vengono in mente quando i documenti sono limitati o assenti sono: "Come vengono stabiliti i criteri dell'audit?" "Quali elementi probatori sono disponibili per valutare la conformità del processo?" La risposta a queste domande si trova nella comprensione dell'approccio per processi del sistema qualità e nell'applicazione delle competenze essenziali per qualsiasi auditor che si approcci a un audit interno.

Partiamo considerando le attività all'interno di un'organizzazione come parti processo che, per definizione, trasformano gli input in output. In base a questa definizione, i criteri dell'audit di base per qualsiasi processo possono derivare da una serie di domande relative al processo: "Qual è l'output desiderato?", "Quale input attiva un'azione o una serie di azioni che porti all'output desiderato?" "Quali passaggi vengono eseguiti per trasformare l'input in output?"
Ogni processo ha un proprietario del processo o process owner che è responsabile della sua gestione e dei relativi output. Nello specifico, un titolare del processo è responsabile dell'identificazione chiara dei requisiti degli output del processo, della determinazione delle interfacce del processo, di come debba essere eseguito il processo, degli obiettivi di performance, della valutazione dei rischi potenziali nel raggiungimento dei requisiti, della determinazione dei controlli di processo, dell'identificazione, dell'ottenimento, della qualificazione e del mantenimento delle risorse del processo, del monitoraggio delle prestazioni del processo e delle modifiche e dei miglioramenti del processo secondo necessità. Riconoscere il ruolo del titolare del processo chiarisce che i criteri dell'audit possono essere determinati semplicemente intervistando il process owner e che le risposte possono diventare la base per raccogliere le evidenze oggettive durante l'audit e per verificare la conformità del processo ai criteri dichiarati. Questo approccio richiede agli auditor diverse competenze: saper organizzare all'interno di una struttura le informazioni fornite dal proprietario del processo, essere in grado di fare nuove domande in base alle risposte fornite, saper sintetizzare le risposte raccolte durante l'audit interno allineandole con i criteri dell'audit, saper riconoscere le tracce rilevanti per esplorare la sequenza di attività e avere una buona capacità di ascolto. L'auditor non è più limitato nelle sue domande in base a quanto affermato nella documentazione del sistema qualità e i rischi potenziali legati all'audit saranno, ovviamente, maggiori ma la stessa cosa vale per le opportunità che, se colte nel modo opportuno, aumenteranno il valore degli audit e le informazioni che, attraverso essi, possono essere fornite ai titolari dei processi e alla direzione.

Negli audit interni che hanno per tema la ISO 9001:2015, quindi, è importante che le evidenze oggettive raccolte durante la verifica vengano messe in relazione con le conclusioni che si riporteranno nel verbale di audit. Proprio perché l'ultima versione della norma ISO 9001 è meno prescrittiva per ciò che riguarda i documenti e le registrazioni da conservare, l'organizzazione ha maggiori opportunità di determinare liberamente quali approcci impiegare per documentare lo svolgimento dei processi. Ricordate che l'obiettivo di un audit è valutare oggettivamente, cioè in modo imparziale, il sistema di gestione della qualità aziendale rispetto ai requisiti contenuti nello standard di riferimento.

Tradizionalmente, quando un'organizzazione avvia un audit interno per verificare la corretta applicazione della ISO 9001, il punto di riferimento per ogni requisito ricade sulle dimostrazioni che l'azienda:

• fornisce costantemente prodotti o servizi conformi;
• ha soddisfatto tutti i requisiti applicabili;
• persegue e sostiene tutti gli sforzi necessari per migliorare su base continua;
• si concentra sul miglioramento della soddisfazione del cliente

Questi sono punti di riferimento critici per gli auditor perché mostrano loro se un organizzazione può contare su un'applicazione efficace della ISO 9001. Per tutti i concetti elencati sopra, non ci sarà alcuna difficoltà a raccogliere evidenze oggettive della conformità (o della mancanza di conformità) ai requisiti normativi. Per dare, però, un senso a questi punti, è necessario considerare alcuni concetti di base. Il primo è il termine "conclusioni dell'audit" che ritroviamo nella ISO 9000:2015. Lo standard recita che per conclusioni dell'audit si intende l'"esito di un audit dopo aver preso in esame gli obiettivi dell'audit e tutte le risultanze dell'audit". Sebbene la ISO 9000 si riferisca a questo termine come parte delle "conclusioni dell'audit", il tipo di conclusione qui menzionato riguarda maggiormente la conclusione raggiunta alla fine di ogni esame probatorio. In sostanza, ogni domanda che gli auditor fanno e tutto ciò che viene loro mostrato a sostegno delle risposte porta a determinazioni che perseguono conclusioni relative alle evidenze oggettive per un dato processo o attività. È importante capire che una serie di conclusioni raggiunte durante l'audit dovrebbe portare a una sua conclusione generale. Sebbene, però, la maggior parte delle situazioni porti ad avere una conclusione di "conformità" o "non conformità" rispetto allo standard, questo non è sempre vero perché potrebbero mancare le evidenze oggettive per affermare che un processo è conforme o non conforme ai requisiti della ISO 9001 e, di conseguenza, quali conclusioni dell'audit si potrebbero trarre senza evidenze oggettive che le supportino? E' inevitabile pensare che dovrebbero essere valutati ulteriori dettagli e cercate altre evidenze oggettive. Se il tempo non dovesse permettere ulteriori valutazioni e approfondire il discorso fosse al di fuori dell'ambito stabilito per l'audit, sarebbe bene riportare sul verbale, sotto forma di osservazione, la nota che l'organizzazione dovrebbe esaminare il punto che non si è potuto chiarire a sufficienza per verificare se il processo funzioni a dovere.

Compreso cosa si intenda per "conclusioni dell'audit", concentriamoci ora su altri tre termini: "documento", "registrazione" e "prova".
Un "documento" viene definito dalla ISO 9000:2015 come: "informazioni e il mezzo in cui sono contenute". Potrebbe trattarsi di informazioni che descrivono un processo o di informazioni che proclamano una presa di posizione. Se un requisito della ISO 9001:2015 che si sta esaminando menziona che devono essere mantenute informazioni documentate o se l'organizzazione ha stabilito dei propri documenti per soddisfare requisiti interni o esterni, l'auditor cercherà i dettagli a supporto di quanto descritto per corroborarli. Ciò include la congruenza o meno dei documenti con il processo o con il requisito osservato.
La "registrazione", invece, viene definita dalla ISO 9000 come un "documento che riporta i risultati conseguiti o fornisce evidenza delle attività svolte”. Per un auditor, qualsiasi luogo in cui la norma menzioni il termine "informazioni documentate"da conservare funge da "spia" che occorre valutare le corrispondenti informazioni documentate e registrate.
In ultimo, una "prova" viene definita come la: "determinazione, secondo i requisiti, per uno specifico utilizzo previsto o applicazione". Questa definizione coinvolge i requisiti della ISO 9001:2015 ma anche quelli per i quali lo standard non richiede informazioni documentate ma solo che ci sia l'evidenza necessaria a trarre una conclusione. Un'organizzazione può scegliere di dimostrare che un requisito è soddisfatto stabilendo un documento o una registrazione ma farlo è del tutto discrezionale. In altre parole, l'organizzazione potrebbe semplicemente dire che le cose stanno così e fornire una spiegazione di come l'esistenza di qualcosa di indirettamente correlato dimostri che il requisito è stato soddisfatto. Ad esempio, un'organizzazione potrebbe sviluppare un sistema qualità per soddisfare i requisiti della ISO 9001:2015 senza stabilire un vero e proprio strumento di analisi dei rischi e dichiarare semplicemente che rischi e opportunità sono stati presi in considerazione durante la progettazione del sistema di gestione. Si potrebbe anche aggiungere che questi rischi e opportunità verrebbero aggiornati se la situazione dovesse cambiare, aggiornando lo stesso sistema qualità. L'auditor, in questo caso, potrebbe verificare questa affermazione valutando la ultime modifiche al sistema.

Il problema speicifico della ISO 9001:2015 è che il concetto di "prova" è prevalente rispetto a quelli di "documento" e "registrazione" e questo richiede agli auditor interni di pensare in termini di ciò che un'organizzazione può presentare per dimostrare che un requisito è stato soddisfatto. Gli auditor, rispetto alle versioni precedenti della ISO 9001, devono essere un po' più esperti perché c'è oggettivamente una difficoltà maggiore nel determinare la conformità in base a ciò che viene presentato invece di ciò che ci si aspetterebbe di vedere.

Punti della ISO 9001:2015 come, ad esempio, quello relativo alle infrastrutture, il punto 7.1.3, richiedono agli auditor di valutare ciò che viene presentato utilizzando una conclusione più relazionale perché la chiave è se un processo sia o meno efficace. Le conclusioni dell'audit che riguardano punti simili saranno, quindi spesso basate su affermazioni che dovranno essere provate, soprattutto se l'azienda ha deciso di non mantenere o conservare le informazioni documentate relative a quei processi per i quali la norma non le richiede. Del resto, gli auditor devono essere in grado di pensare in termini di audit di processo perché l'intento della norma è proprio quello di controllare un processo in relazione agli input, agli output e a tutti gli altri fattori come gli obiettivi e l'infrastruttura relativa che contribuiscono al suo successo o al suo insuccesso. Con la ISO 9001:2015 ci sono molte meno prove assolute che si possono raccogliere e, per questo motivo, gli auditor devono essere più aperti ad arrivare alle giuste conclusioni, grazie alla loro professionalità e conoscenza approfondita della materia.

C'è un approccio di base suddiviso in tre parti che un auditor potrebbe trovare utili per gestire questo tipo di situazioni:

• provare a comprendere ciò che osserva o gli viene presentato e riflettere se sia efficace per soddisfare i requisiti normativi, senza cercare di adattarlo a un punto specifico dello standard. A tal fine, gli auditor devono valutare le prove, così come vengono presentate, determinare se tali prove soddisfino effettivamente il loro intento e se la posizione assunta soddisfi la norma;
• il secondo approccio è quello di esaminare ciò che viene presentato e, quando le prove fornite non soddisfano chiaramente il requisito, portare le persone oggetto dell'audit a capire quale parte manchi. Notando ciò che manca, l'auditor può instradare i colleghi a fornire i pezzi mancanti, quando ci sono;
• il terzo e ultimo approccio è quello di non cercare di giungere a conclusioni prima della conclusione dell'audit perché alcune considerazioni si potranno fare solo esaminando le relazioni tra molteplici fattori. Pensiamo, ad esempio, al punto che riguarda la conoscenza organizzativa. Il punto 7.1.6 della ISO 9001:2015 afferma che un'organizzazione deve determinare le conoscenze necessarie per il funzionamento dei suoi processi e per ottenere la conformità dei prodotti e dei servizi. Questa conoscenza deve essere messa a disposizione e mantenuta nella misura necessaria. Quando si affrontano esigenze e tendenze mutevoli, l'organizzazione deve prendere in considerazione le sue conoscenze e determinare come acquisire le conoscenze aggiuntive necessarie a gestire gli aggiornamenti richiesti. Vi rendete conto che, in questo caso, non basta spuntare una casellina della check list per giungere a una conclusione che abbia un senso

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
Riporteremo quotidianamente tutti gli aggiornamenti sulla norma)

Chiudiamo ricordando che, se l'intento dell'audit è quello di valutare l'efficacia dei processi in relazione ai requisiti della ISO 9001, gli auditor devono essere aperti a ragionare su tutto ciò che viene fornito dal processo e dalle sue relazioni con altri processi perché una valutazione non sistemica non avrebbe senso. E' solo testando integralmente il proprio sistema qualità, infatti, che un'organizzazione si assicura di gestirlo sempre in modo efficace. Gli auditor dovrebbero capire bene lo svolgimento dell'intero processo che stanno verificando per assicurare che i requisiti vengano soddisfatti. Se l'auditor non comprende le specifiche del processo che deve esaminare, non può verificare se soddisfi o meno i requisiti. Prima di iniziare l'audit, quindi, conviene chiarirsi bene le idee relativamente a cosa è richiesto al processo, chiedersi se questa richiesta sia conforme alle specifiche concordate e chi abbia deciso cosa richiedere. E' importante anche capire quali siano i clienti e i fornitori del processo e quali siano i loro criteri.
Ricordate anche che troppo frequentemente si fa l'errore di raccogliere evidenze oggettive in fasi del processo in cui non si è ancora in grado di stabilire come siano correlate al fatto che il processo funzioni bene. In questo caso, l'auditor sarà solo in grado di verificare se quel particolare documento sia stato compilato correttamente ma non di capire se il processo è gestito e controllato in modo efficace. È essenziale, quindi, che l'auditor si prenda il tempo necessario per capire cosa è richiesto dal processo che sta verificando per riuscire a identificare eventuali debolezze nel processo e decidere se l'organizzazione sia in grado di soddisfare i requisiti specificati.

PER SAPERNE DI PIU':