Qual è l'obiettivo principale di un audit basato sul rischio?
L'obiettivo principale è concentrare gli sforzi dell'audit sulle aree più suscettibili ai rischi, rendendo così il processo più efficiente ed efficace.
Fidati ma verifica
(Proverbio russo)
Se non fai le domande giuste, non avrai le risposte giuste
(Edward Hodnett)
Il prezzo della luce è inferiore a quello delle tenebre
(Arthur C. Nielsen)
Hai mai sentito dire che: "Prevenire è meglio che curare?" Il pensiero basato sul rischio si occupa proprio della prevenzione quando si tratta di gestire le incertezze nel mondo del business.
Pensa agli audit come al "check-up" di cui la tua organizzazione ha bisogno. È un po' come andare dal dottore: potrebbe non piacerci, ma non possiamo evitarlo se vogliamo essere sani.
I risk-based audit offrono un'analisi approfondita per verificare se le nostre pratiche aziendali sono all'altezza, in particolare per quanto riguarda la gestione del rischio. Operativamente, gli audit forniscono la struttura e il pensiero basato sul rischio offre la strategia. Insieme, ci danno un approccio completo per mantenere la nostra azienda nella migliore salute possibile.
Nel panorama complesso e in rapida evoluzione di oggi, l'approccio tradizionale all'audit potrebbe non essere più sufficiente, soprattutto in certi settori. Per questo motivo, molte organizzazioni adottano sempre più spesso una strategia di audit basata sul rischio per concentrarsi soprattutto sulle aree ad alto rischio che hanno un impatto significativo sugli obiettivi di un'organizzazione e migliorare, così, l'efficacia e l'efficienza del processo di audit. Ogni organizzazione dovrebbe sviluppare una buona comprensione di come le nuove tecnologie, la globalizzazione e i rischi legati al contesto in cui opera stiano accelerando la velocità con cui possono sorgere nuovi problematiche e un audit interno fatto bene deve essere in grado di valutare costantemente questi rischi.
Il risk-based audit è un approccio che dà priorità alle attività di audit in base al livello di rischio associato alle diverse aree di un'organizzazione e che mira ad allocare le risorse in modo più efficace. Un audit basato sul rischio, in sostanza, considera gli obiettivi e le attività di un'area aziendale o di un processo, identifica i rischi e suggerisce soluzioni per mitigarli.
Le componenti chiave di questa tipologia di audit sono:
Il pensiero basato sul rischio è fondamentale nei moderni sistemi di gestione della qualità, in particolar modo da quando è stata pubblicata la ISO 9001:2015. Ma come si traduce questo concetto nel processo di audit? Vediamolo passaggio dopo passaggio.
Si parte con la pianificazione pre-audit. Prima di immergersi nell'audit, è fondamentale preparare il terreno e questo comporta:
Il secondo step è quello dell'identificazione dei rischi potenziali nell’ambito dell’audit. Potete procedere con brainstorming, riunendo le principali parti interessate per discutere i potenziali rischi o riesaminando la documentazione per identificare eventuali aree problematiche. Un'altra alternativa ancora è utilizzare un'analisi SWOT per valutare i punti di forza, di debolezza, le opportunità e le minacce relative all'ambito dell'audit.
Il terzo passaggio è l'analisi dei rischi. Una volta identificati i rischi, infatti, è necessario analizzarli per comprenderne l’impatto e la probabilità. Ciò può comportare un'analisi quantitativa (l'utilizzo di dati numerici per valutare il potenziale impatto) o un'analisi qualitativa (l'utilizzo di metodi descrittivi per valutare la gravità e la probabilità dei rischi).
E arriviamo a uno dei punti più importanti di tutto l'audit: dare le priorità ai rischi. Dopo l'analisi, infatti, i rischi devono essere classificati in base al loro potenziale impatto e alla probabilità che accadano. Questo modo di procedere aiuta l'organizzazione a concentrare gli sforzi sulle aree più critiche.
Il quinto passaggio è quello più scontato: l'esecuzione dell'audit vero e proprio.
Durante questa fase si raccolgono i dati e le evidenze oggettive attraverso l'osservazione, i colloqui con il personale e l'analisi delle informazioni documentate.
Valutate quanto bene l'organizzazione sta gestendo i rischi identificati e controllate la conformità ai requisiti normativi, a quelli della clientela e a quelli aziendali.
Dopo l’audit viene redatto un verbale dettagliato in cui vengono delineati i risultati della verifica, cioè quali sono stati i rischi verificati e quanto bene sono gestiti. Trattandosi di audit interno, volendo, verranno date anche raccomandazioni su come mitigare i rischi identificati e su eventuali piani d’azione con una tabella delle tempistiche associate.
A questo punto i più inesperti potrebbero pensare di aver terminato il lavoro ma l’audit non è affatto giunto alla fine, bensì è al punto di partenza per dare l'avvio al miglioramento continuo. Le attività post-audit includono:
Il modello denominato "Committee of Sponsoring Organizations of the Treadway Commission (COSO)" è internazionalmente riconosciuto e ampiamente utilizzato per l'implementazione di audit basati sul rischio perché fornisce un approccio strutturato alla gestione del rischio e agli audit interni.
Gli elementi che lo caratterizzano sono:
Un'altra metodologia che si può seguire è quella illustrata dalla ISO 31000:2018 "Gestione del rischio - Linee guida" che fornisce una guida per la gestione del rischio ed è applicabile a tutti i tipi di organizzazioni. Il documento si concentra sui principi per una gestione efficace dei rischi e ha come elementi chiave:
L'ultima metodologia che vi suggeriamo è la NIST RMF (National Institute of Standards and Technology Risk Management Framework) che viene particolarmente utilizzata nel contesto della sicurezza delle informazioni, soprattutto nelle organizzazioni governative degli Stati Uniti, negli istituti finanziari e nelle organizzazioni sanitarie che hanno requisiti rigorosi di conformità e sicurezza. Le sue linee guida, però, possono essere tranquillamente utilizzate anche da organizzazioni private e internazionali. Gli elementi chiave della NIST RMF sono:
Metodologia | Componenti Chiave | Applicabilità |
---|---|---|
COSO | ambiente di controllo, valutazione del rischio, attività di controllo | Tutte le organizzazioni |
ISO 31000 | assegnazione della responsabilità per ogni rischio, implementazione delle misure per mitigare i rischi | Tutte le organizzazioni |
NIST RMF | preparazione dell'organizzazione, categorizzazione dei sistemi informativi, selezione dei controlli di sicurezza migliori, valutazione, autorizzazione, monitoraggio continuo | Soprattutto le istituzioni governative USA, gli istituti finanziari e le organizzazioni sanitarie |
I vantaggi che derivano da un risk-based audit sono molti. Qui ricordiamo:
Potete approfondire ulteriormente l'argomento, rileggendo questo articolo di QualitiAmo dal titolo: "L'audit ISO 9001 e la gestione dei rischi"
L'implementazione di un approccio di questo tipo non è priva di sfide che derivano, spesso, dalla cultura organizzativa, dalla mancanza di esperienza e dai limiti rappresentati dalle poche risorse. Vediamole una ad una:
Tra le migliori pratiche che possiamo adottare in un risk-based audit ricordiamo:
Vediamo adesso quali sono gli errori più comuni che vengono commessi durante il processo di risk-based auditing e come si può rimediare.
Trascurare di considerare alcuni rischi: la soluzione è quella di fornire una formazione completa agli auditor sul risk-based thinking, sottolineando l’importanza della valutazione dei rischi come parte del processo di audit.
Preparazione sulla documentazione insufficiente: sappiamo che le organizzazioni devono conservare le registrazioni delle proprie valutazioni del rischio, inclusi i rischi identificati, le probabilità di accadimento, l'impatto potenziale e le strategie di mitigazione. Gli auditor dovrebbero esaminare questi documenti come parte della preparazione all’audit e durante l’audit stesso.
Comunicazione inadeguata: la soluzione, in questo caso, è stabilire canali di comunicazione chiari tra gli auditor e le persone che sono oggetto dell'audit. E' bene fornire agli auditor linee guida per comunicare in modo efficace lo scopo, l’ambito e le aspettative dell’audit, incoraggiandoli anche a tenere riunioni pre-audit per rispondere a eventuali domande o dubbi.
Mancanza di integrazione della gestione del rischio nei processi: è bene promuovere una cultura di consapevolezza del rischio all'interno dell'organizzazione, incoraggiando i proprietari dei processi a integrare la gestione del rischio nelle loro attività quotidiane e nei processi decisionali. Gli auditor, infatti, tra le altre cose dovrebbero proprio valutare in che misura i rischi sono integrati nei processi.
Mancata identificazione dei rischi emergenti: non è facile accorgersi in tempo di un nuovo rischio ma si possono incoraggiare gli auditor a rimanere informati sulle tendenze del settore e a integrare un riesame dei rischi emergenti nella pianificazione dell’audit.
Trascurare le opportunità: ricordate agli auditor di cercare in modo proattivo le opportunità di miglioramento e di innovazione durante gli audit. Invitateli a fare domande relative alle opportunità e a collaborare per identificare le aree in cui è possibile apportare cambiamenti positivi.
Verbale di audit inadeguato: la soluzione potrebbe essere quella di progettare un formato di reporting standardizzato che distingua chiaramente tra i risultati relativi alla conformità e quelli relativi all'efficacia della gestione del rischio.
Mancanza di follow-up: avviate un sistema per tracciare e monitorare l'implementazione delle azioni correttive relative alla gestione del rischio e pianificare audit di follow-up per verificare l'efficacia di queste azioni.
La gestione della qualità ha fatto molta strada dai tempi dei semplici controlli di conformità e degli audit sulle procedure. Con l’avvento della ISO 9001:2015, il pensiero basato sul rischio è diventato fondamentale per migliorare i sistemi qualità, prima di tutto perché utilizza un approccio proattivo alla qualità, mentre gli audit tradizionali hanno spesso un approccio reattivo, dato che identificano le non conformità e gli errori che si sono già verificati.
Anche per quanto riguarda l'allocazione mirata delle risorse l'audit tradizionale non fa sempre un buon lavoro perché le risorse sono spesso sparse a coprono tutte le aree, indipendentemente dal loro impatto sulla qualità. Gli audit basati sul rischio, invece, consentono alle organizzazioni di concentrare le proprie risorse sulle aree ad alto rischio che hanno l’impatto più significativo sulla qualità e questo garantisce che i processi e le funzioni critici ricevano l’attenzione che meritano, portando a risultati di qualità migliore.
Gli audit basati sul rischio spesso coinvolgono team interfunzionali nel processo di identificazione e gestione del rischio e questo livello di coinvolgimento aumenta il l'"engagement" dei dipendenti che si sentono più responsabilizzati per la qualità del loro lavoro. Anche questo è importante per un sistema qualità.
Un audit risk-based lavora per un maggiore allineamento strategico, visto che la gestione della qualità non è solo una questione operativa. Audit di questo tipo aiutano ad allineare gli obiettivi della qualità con la strategia generale dell'organizzazione, concentrandosi sulla mitigazione dei rischi che potrebbero impedire il raggiungimento degli obiettivi strategici.
Un altro vantaggio che deriva da questa tipologia di audit è che gli auditor non si limitano a segnalare le non conformità ma forniscono raccomandazioni per migliorare i processi e le pratiche di gestione del rischio e questo ciclo di feedback contribuisce agli sforzi continui dell'organizzazione per perfezionare le proprie attività e raggiungere livelli più elevati di qualità ed efficienza. Riuscite a pensare a qualcosa di meglio per un sistema qualità?
Concentrandosi sui rischi che contano per gli stakeholder dell'organizzazione, inclusi clienti, gli organismi di regolamentazione e gli investitori, i risk-based audit aiutano a garantire che l'organizzazione rimanga conforme e reattiva alle aspettative esterne. Questo allineamento può portare ad una maggiore fiducia e soddisfazione tra le parti interessate.
Infine, come sappiamo, le organizzazioni operano in ambienti dinamici in cui i rischi e le opportunità si evolvono e il pensiero basato sul rischio consente agli auditor di adattare i propri piani e le strategie al mutare delle circostanze. Questa flessibilità garantisce che gli audit rimangano pertinenti ed efficaci nell’affrontare i rischi e le sfide emergenti e nel mantenere sempre aggiornato il sistema qualità.
"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)
"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)
(Vuoi restare aggiornato gratuitamente sulla ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato. Riporteremo quotidianamente tutti i nostri articoli sulla norma)
L'obiettivo principale è concentrare gli sforzi dell'audit sulle aree più suscettibili ai rischi, rendendo così il processo più efficiente ed efficace.
Gli audit di conformità tradizionali spesso seguono una checklist prestabilita e non sono adattati al profilo di rischio specifico di un'organizzazione. Al contrario, l'audit basato sul rischio personalizza l'approccio di audit in base ai rischi specifici dell'organizzazione.
Sì, i principi dell'audit basato sul rischio sono universalmente applicabili, sebbene i rischi e i controlli specifici possano variare a seconda del settore e delle dimensioni dell'organizzazione.
Alcune delle sfide includono la resistenza culturale, la complessità nella valutazione del rischio e i limiti legati alle risorse.
Le valutazioni del rischio devono essere aggiornate regolarmente per riflettere i cambiamenti nell'ambiente aziendale. Il monitoraggio continuo è una best practice in tal senso.
Assolutamente sì. La tecnologia può automatizzare molti processi di audit, rendendoli più efficienti ed efficaci.