L'AUDIT ISO 9001 E LA GESTIONE DEI RISCHI

Come si pianifica un audit ISO 9001 tenendo conto della
gestione dei rischi?

 

audit-iso-9001-gestione-rischi

Grandezza caratteri: piccoli | medi | grandi

La ISO 9001:2015, al punto 9.2 relativo agli audit interni, richiede che un'organizzazione conduca a intervalli pianficati degli audit interni per fornire informazioni relativamente al fatto che il sistema di gestione della qualità aziendale sia conforme ai requisiti dell'organizzazione stessa e a quelli della ISO 9001 e venga implementato e mantenuto nel tempo in modo efficace.
Al punto 9.2.2 lo standard richiede che l'organizzazione pianifichi, stabilisca, implementi e mantenga fede a una pianificazione degli audit interni tenendo conto dell'importanza dei processi, dei cambiamenti avvenuti che hanno avuto effetto sull'organizzazione e dei risultati degli audit precedenti.

L'approccio alla gestione dei rischi della norma, invece, andrebbe adottato per:

  • migliorare la fiducia del cliente e la sua soddisfazione;
  • assicurare che la qualità di prodotti e servizi rimanga costante;
  • portare all'interno dell'organizzazione una cultura proattiva della prevenzione e del miglioramento

e dovrebbe funzionare in questo modo:

  • analizzare i rischi dell'organizzazione e dare loro una priorità ragionando su ciò che si considera un rischio accettabile e ciò che, invece, non lo è;
  • pianificare le azioni necessarie alla gestione dei rischi individuati a partire da quelli prioritari;
  • implementare il piano;
  • testarne l'efficacia;
  • imparare dall'esperienza fatta

Tornando al discorso della pianificazione degli audit interni, tutto questo significa che, anche se molte organizzazioni non ne tengono conto, il programma degli audit di prima parte dovrebbe essere preparato in base alla gestione dei rischi per costituire davvero un processo a valore aggiunto e fornire un buon ritorno sull'investimento di tempo ed energie. Ci si pensa poco, purtroppo, e molte organizzazioni si limitano a fare una pianificazione che comprenda tutte le aree senza fare alcun tipo di ragionamento in tal senso.
Nei sistemi progettati bene, però, la programmazione degli audit interni riflette l'attenzione data alle aree chiave dell'azienda, aree identificate in base alle evidenze degli audit precedenti, in base ai riesami della Direzione, in base alle evidenze riscontrate dagli auditor di seconda e di terza parte o ad altre criticità. Le aree che non hanno evidenziato particolari problemi o criticità potranno essere oggetto di un numero di audit inferiore.

Audit fornitori: la checklist

Da cosa dipende il successo di un audit?

Il ruolo della checklist nell'audit

Tra i fattori chiave da considerare quando si stila un programma di audit capace di riflettere i rischi che in quel momento minacciano il sistema qualità aziendale sono:

  • processi che non funzionano al meglio;
  • processi che hanno avuto un feedback negativo da parte del cliente;
  • aree a rischio maggiore (ad esempio perché possono nascere facilmente nuovi requisiti del cliente o perché possono esserci problematiche legate ai fornitori o alla tecnologia o, perché ci sono frequenti modifiche ai materiali o ai macchinari o, ancora, perché eventuali regolamenti, disposizioni di legge, standard di riferimento, ecc. cambiano frequentemente, ecc.) ;
  • processi che devono rispettare requisiti normativi;
  • necessità derivanti dalle parti interessate;
  • il livello di rischio associato agli output di processo;
  • processi fondamentali per l'organizzazione;
  • processi che hanno un impatto diretto sul cliente e su altri stakeholder;
  • processi legati a scoperte significative che derivano da dati, registrazioni, riesami della Direzione, ecc.;
  • rischi che erano già stati pre-identificati in sede di individuazione dei rischi quando si è progettato il sistema qualità e che poi sono stati aggiornati nel tempo e tenuti regolarmente sotto controllo;
  • i processi che hanno un impatto diretto e significativo sui risultati aziendali;
  • livello di maturità del sistema auditato

Tutti i processi e le attività che, per un motivo o per l'altro, ricadono nell'elenco riportato dovrebbero essere oggetto di audit più frequentemente degli altri, proprio perché possono presentare maggiori rischi per l'organizzazione e un piano di audit interni dovrebbe essere sempre aggiornato in base ai rischi e non essere un documento che viene riproposto uguale a se stesso anno dopo anno.
L'essenza di un audit risk-based è che deve essere, prima di tutto, centrato sul cliente a iniziare dagli obiettivi dell'attività da auditare, fino ad arrivare ai rischi che potrebbero insorgere e impedire il raggiungimento degli obiettivi del processo e poi alle procedure che sono state pensate per mitigarli.

Il campo di applicazione dell'audit interno

Le verifiche ispettive

Due risorse per gli audit

Procedendo in questo modo, il programma degli audit interni sarebbe basato sul rischio e sui feedback invece di essere riproposto anno dopo anno uguale a se stesso solamente per adeguarsi ai requisiti più macroscopici della norma e il ruolo dell'auditor diventerebbe decisamente più strategico, fornendo maggiore valore aggiunto al lavoro che svolge. L'approccio alla gestione dei rischi, del resto, è ciò che è andato a sostituire il vecchio concetto di azione preventiva e dovrebbe essere chiaro che è un lavoro che spetta a tutti, non solamente al management! Per permeare davvero la quotidianità dell'azenda dovrebbe diventare parte integrante della cultura dell'organizzazione. Le azioni correttive sistemano ciò che non è andato bene e impediscono che la problematica si ripresenti ma le azioni preventive (o, in maniera più strutturata, la gestione dei rischi) impediscono o provano a impedire che i problemi si verifichino a monte.

L'obiettivo principale della ISO 9001 è rendere l'organizzazione degna della fiducia del cliente relativamente al fatto di poter produrre prodotti di qualità ed erogare servizi in linea con le aspettative. E se il controllo dei processi assicura la conformità, l'approccio mediante la gestione dei rischi aiuta a prevedere eventuali problemi, al fine di evitare che accadano. Il risk-based thinking è qualcosa che dovremmo imparare ad applicare a ogni parte del nostro sistema qualità (e la pianificazione degli audit non fa eccezione) per imparare a essere proattivi invece che reattivi e a promuovere il miglioramento continuo.

Valutare, qualificare e monitorare i fornitori

Consigli per fare bene gli audit

Come comportarsi durante gli audit

Audit di terza parte: come prepararsi

La qualità e la gestione del rischio sembrerebbero proprio essere dei compagni naturali, non credete? E anche se il linguaggio del rischio non è sempre così familiare ai professionisti della qualità, è bene riflettere sul fatto che la maggior parte di ciò che fanno e di cui sono responsabili è l'identificazione o la mitigazione del rischio. Avere il controllo sui processi porta a minori deviazioni, errori, incidenti, ecc.

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla nuova ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
In calce all'articolo riporteremo quotidianamente un aggiornamento sulla futura norma)

Può portare anche a decisioni aziendali più mirate come, ad esempio, su quali attività concentrarsi, come migliorare l'efficienza, come fornire una maggiore qualità e un servizio migliore. Tutto questo è quello che definiamo come "eccellenza" e si ottiene integrando la gestione dei rischi in ogni più piccola parte del sistema qualità .

La regola dei 5 minuti

Tutti i documenti per gestire gli audit

I layered process audit

La checklist per i layered process audit

PER SAPERNE DI PIU':
Tutti gli articoli sugli audit