QualitiAmo - La Qualità gratis sul web

• Home
• /
• Approfondimenti
• /
• Gli audit ISO 9001

Fidati ma verifica
(Proverbio russo)

Se non fai le domande giuste, non avrai le risposte giuste
(Edward Hodnett)

Il prezzo della luce è inferiore a quello delle tenebre
(Arthur C. Nielsen)

Hai mai sentito dire che: "Prevenire è meglio che curare?" Il pensiero basato sul rischio si occupa proprio della prevenzione quando si tratta di gestire le incertezze nel mondo del business.

Pensa agli audit come al "check-up" di cui la tua organizzazione ha bisogno. È un po' come andare dal dottore: potrebbe non piacerci, ma non possiamo evitarlo se vogliamo essere sani.

I risk-based audit offrono un'analisi approfondita per verificare se le nostre pratiche aziendali sono all'altezza, in particolare per quanto riguarda la gestione del rischio. Operativamente, gli audit forniscono la struttura e il pensiero basato sul rischio offre la strategia. Insieme, ci danno un approccio completo per mantenere la nostra azienda nella migliore salute possibile.

Che cos'è un risk-based audit?

Nel panorama complesso e in rapida evoluzione di oggi, l'approccio tradizionale all'audit potrebbe non essere più sufficiente, soprattutto in certi settori. Per questo motivo, molte organizzazioni adottano sempre più spesso una strategia di audit basata sul rischio per concentrarsi soprattutto sulle aree ad alto rischio che hanno un impatto significativo sugli obiettivi di un'organizzazione e migliorare, così, l'efficacia e l'efficienza del processo di audit. Ogni organizzazione dovrebbe sviluppare una buona comprensione di come le nuove tecnologie, la globalizzazione e i rischi legati al contesto in cui opera stiano accelerando la velocità con cui possono sorgere nuovi problematiche e un audit interno fatto bene deve essere in grado di valutare costantemente questi rischi.

Il risk-based audit è un approccio che dà priorità alle attività di audit in base al livello di rischio associato alle diverse aree di un'organizzazione e che mira ad allocare le risorse in modo più efficace. Un audit basato sul rischio, in sostanza, considera gli obiettivi e le attività di un'area aziendale o di un processo, identifica i rischi e suggerisce soluzioni per mitigarli.

Le componenti chiave di questa tipologia di audit sono:

• l'identificazione e la valutazione dei rischi che potrebbero influire sul raggiungimento degli obiettivi organizzativi;
• lo sviluppo di un piano di audit basato sulla definizione della propensione al rischio dell'organizzazione, sulla definizione dei rischi intrinseci che l'organizzazione deve affrontare e sulla concentrazione sui processi aziendali ad alto rischio;
• la conduzione dell'audit in conformità con il piano

Come funziona un audit basato sul rischio?

Il pensiero basato sul rischio è fondamentale nei moderni sistemi di gestione della qualità, in particolar modo da quando è stata pubblicata la ISO 9001:2015. Ma come si traduce questo concetto nel processo di audit? Vediamolo passaggio dopo passaggio.

Si parte con la pianificazione pre-audit. Prima di immergersi nell'audit, è fondamentale preparare il terreno e questo comporta:

• l'identificazione degli obiettivi - cosa sperate di ottenere con questo audit? Si tratta di conformità, miglioramento dei processi o qualcos'altro?
• definizione dell'ambito - definite chiaramente quali processi, dipartimenti, processi o attività verranno controllati
allocazione delle risorse: determinate le risorse di cui avrete bisogno, tra cui la manodopera, il tempo e gli strumenti

Il secondo step è quello dell'identificazione dei rischi potenziali nell’ambito dell’audit. Potete procedere con brainstorming, riunendo le principali parti interessate per discutere i potenziali rischi o riesaminando la documentazione per identificare eventuali aree problematiche. Un'altra alternativa ancora è utilizzare un'analisi SWOT per valutare i punti di forza, di debolezza, le opportunità e le minacce relative all'ambito dell'audit.

Il terzo passaggio è l'analisi dei rischi. Una volta identificati i rischi, infatti, è necessario analizzarli per comprenderne l’impatto e la probabilità. Ciò può comportare un'analisi quantitativa (l'utilizzo di dati numerici per valutare il potenziale impatto) o un'analisi qualitativa (l'utilizzo di metodi descrittivi per valutare la gravità e la probabilità dei rischi).

E arriviamo a uno dei punti più importanti di tutto l'audit: dare le priorità ai rischi. Dopo l'analisi, infatti, i rischi devono essere classificati in base al loro potenziale impatto e alla probabilità che accadano. Questo modo di procedere aiuta l'organizzazione a concentrare gli sforzi sulle aree più critiche.

Il quinto passaggio è quello più scontato: l'esecuzione dell'audit vero e proprio. Durante questa fase si raccolgono i dati e le evidenze oggettive attraverso l'osservazione, i colloqui con il personale e l'analisi delle informazioni documentate.
Valutate quanto bene l'organizzazione sta gestendo i rischi identificati e controllate la conformità ai requisiti normativi, a quelli della clientela e a quelli aziendali.

Dopo l’audit viene redatto un verbale dettagliato in cui vengono delineati i risultati della verifica, cioè quali sono stati i rischi verificati e quanto bene sono gestiti. Trattandosi di audit interno, volendo, verranno date anche raccomandazioni su come mitigare i rischi identificati e su eventuali piani d’azione con una tabella delle tempistiche associate.

A questo punto i più inesperti potrebbero pensare di aver terminato il lavoro ma l’audit non è affatto giunto alla fine, bensì è al punto di partenza per dare l'avvio al miglioramento continuo. Le attività post-audit includono:

• l'implementazione delle azioni correttive identificate per mitigare i rischi identificati
• il monitoraggio per verificare l'efficacia delle azioni correttive
• un audit di follow-up per garantire che i rischi siano gestiti in modo efficace tuoi audit al livello successivo con il pensiero basato sul rischio?

Metodologie per implementare un risk-based audit

Il modello denominato "Committee of Sponsoring Organizations of the Treadway Commission (COSO)" è internazionalmente riconosciuto e ampiamente utilizzato per l'implementazione di audit basati sul rischio perché fornisce un approccio strutturato alla gestione del rischio e agli audit interni.
Gli elementi che lo caratterizzano sono:

• l'ambiente di controllo, cioè l'insieme degli standard e dei processi che costituiscono la base del sistema di audit interni di un'organizzazione;
• la valutazione del rischio, cioè il processo di identificazione e valutazione dei rischi;
• l'attività di controllo, ovvero le azioni intraprese per mitigare i rischi

Un'altra metodologia che si può seguire è quella illustrata dalla ISO 31000:2018 "Gestione del rischio - Linee guida" che fornisce una guida per la gestione del rischio ed è applicabile a tutti i tipi di organizzazioni. Il documento si concentra sui principi per una gestione efficace dei rischi e ha come elementi chiave:

• l'assegnazione della responsabilità per ogni rischio identificato;
• l'ìmplementazione di misure per mitigare i rischi

L'ultima metodologia che vi suggeriamo è la NIST RMF (National Institute of Standards and Technology Risk Management Framework) che viene particolarmente utilizzata nel contesto della sicurezza delle informazioni, soprattutto nelle organizzazioni governative degli Stati Uniti, negli istituti finanziari e nelle organizzazioni sanitarie che hanno requisiti rigorosi di conformità e sicurezza. Le sue linee guida, però, possono essere tranquillamente utilizzate anche da organizzazioni private e internazionali. Gli elementi chiave della NIST RMF sono:

• la preparazione dell'organizzazione ad adottare un approccio alla gestione dei rischi. Si tratta di stabilire il contesto, definire gli obiettivi e identificare le risorse necessarie;
• la categorizzazione dei sistemi informativi in base all'impatto che una loro compromissione potrebbe avere sull'organizzazione;
• la selezione dei controlli di sicurezza appropriati per mitigare i rischi identificati;
• l'mplementazione dei controlli;
• la loro valutazione per assicurare che i controlli siano implementati correttamente e funzionino come previsto;
• l'autorizzazione: in questa fase, un'autorità competente (spesso un responsabile della sicurezza delle informazioni o un dirigente) esamina la documentazione e decide se il sistema è abbastanza sicuro oppure no;
• il monitoraggio continuo per assicurare che il sistema rimanga sicuro nel tempo

Metodologie a confronto

Metodologia	Componenti Chiave	Applicabilità
COSO	ambiente di controllo, valutazione del rischio, attività di controllo	Tutte le organizzazioni
ISO 31000	assegnazione della responsabilità per ogni rischio, implementazione delle misure per mitigare i rischi	Tutte le organizzazioni
NIST RMF	preparazione dell'organizzazione, categorizzazione dei sistemi informativi, selezione dei controlli di sicurezza migliori, valutazione, autorizzazione, monitoraggio continuo	Soprattutto le istituzioni governative USA, gli istituti finanziari e le organizzazioni sanitarie

Benefici di un audit interno basato sul rischio

I vantaggi che derivano da un risk-based audit sono molti. Qui ricordiamo:

• l'allocazione efficiente delle risorse perché ci si concentra sulle aree ad alto rischio - gli audit tradizionali possono richiedere un uso intensivo di risorse, poiché richiedono molto tempo e persone che siano impegnate a svolgerli e a "subirli". Gli audit basati sul rischio, invece, consentono di allocare le risorse in modo più efficiente, concentrandosi sulle aree ad alto rischio. Ciò significa che si ottiene più valore per il tempo e pergli sforzi investiti;
• un'efficacia maggiore nel garantire la conformità ai requisiti normativi - molti settori hanno normative e standard specifici a cui devono attenersi. Gli audit basati sul rischio aiutano a garantire che i problemi di conformità più critici vengano identificati e affrontati, riducendo la probabilità di ripercussioni legali;
• un migliore processo decisionale grazie alle informazioni fornite dall'audit - quando ci si concentra sui rischi più significativi, sti sta dando la priorità a ciò che necessita di un'attenzione immediata. Questo approccio mirato consente un processo decisionale più informato perché non ci si limita a spegnere gli incendi ma si sta lavorando per ridurre la possibilità che si sviluppino;
• gestione della qualità migliorata - gli audit basati sul rischio sono allineati ai principi della ISO 9001. Identificando e mitigando i rischi, migliorerà anche la qualità dei prodotti e dei servizi e questo porterà a una maggiore soddisfazione del cliente;
• vantaggio competitivo - comprendere i rischi vi dà un vantaggio sulla concorrenza perché vi consente di mitigare potenziali problemi ​​prima che diventino un incendio da spegnere, garantendo che la vostra attività funzioni in modo più fluido ed efficiente;
• cultura del miglioramento continuo - quando un’organizzazione si concentra sugli audit basati sul rischio, coltiva naturalmente una cultura incentrata sul miglioramento continuo. I collaboratori diventano più consapevoli dei rischi e si impegnano a trovare modi per migliorare i processi e mitigare i potenziali problemi;
• maggiore fiducia delle parti interessate - quando gli stakeholder sanno che un’organizzazione sta gestendo attivamente i rischi più significativi, si crea fiducia e questo può portare a maggiori investimenti, migliori partnership e a una migliore reputazione sul mercato

Potete approfondire ulteriormente l'argomento, rileggendo questo articolo di QualitiAmo dal titolo: "L'audit ISO 9001 e la gestione dei rischi"

Le sfide rappresentate da questa tipologia di audit interni

L'implementazione di un approccio di questo tipo non è priva di sfide che derivano, spesso, dalla cultura organizzativa, dalla mancanza di esperienza e dai limiti rappresentati dalle poche risorse. Vediamole una ad una:

• resistenza culturale - uno degli ostacoli più difficili da superare è la resistenza dei dipendenti che sono abituati ai metodi di audit tradizionali. La modifica dell'approccio può portare a un po' di scetticismo o riluttanza nel recepire il cambiamento. Le cause di questa resistenza possono essere:
  • una mancanza di comprensione dei benefici che un audit basato sul rischio può portare;
  • la paura del cambiamento che può generare insicurezza, ad esempio perché si potrebbe pensare che un nuovo sistema potrebbe rendere obsoleto un ruolo o mettere in evidenza alcune lacune nelle competenze;
  • investimento emotivo dovuto al fatto che le persone postrebbero essere emotivamente legate ai metodi di lavoro esistenti, specialmente se hanno contribuito a svilupparli
  Le strategie per superare questa resistenza sono:
  • una comunicazione efficace che spieghi chiaramente i motivi del cambiamento e i benefici attesi;
  • il coinvolgimento degli stakeholder nel processo decisionale;
  • la formazione che può aiutare i membri del team a sentirsi più a proprio agio con il nuovo approccio
  • un progetto pilota su scala ridotta per aiutare a individuare eventuali problemi e permettere ai membri del team di acquisire fiducia nel nuovo sistema
• complessità nella valutazione del rischio - la valutazione del rischio è un'attività complessa e una delle fasi più critiche nell'implementazione di un risk-based audit che richiede competenze specialistiche. Una valutazione errata dei rischi, infatti, può portare a un audit inefficace. I fattori che contribuiscono a creare questa complessità sono:
  • la dinamica dei rischi determinata dal fatto che i rischi sono in costante evoluzione a causa dei fattori esterni come i cambiamenti normativi, le fluttuazioni del mercato e le innovazioni tecnologiche, ecc.;
  • l'interconnessione dei rischi, cioè il fatto che i rischi in un'organizzazione sono spesso interconnessi in modi complessi che possono essere difficili da mappare e da comprendere;
  • la mancanza di dati sufficienti o affidabili per effettuare una valutazione del rischio accurata;
  • la mancanza di competenze specialistiche
  Con alcuni strumenti e metodologie è possibile intervenire e semplificare il processo. Ad esempio possiamo investire nella formazione del personale e nella consultazione di esperti con esperienza specifica, specialmente per rischi altamente specializzati o complessi. Data la natura dinamica dei rischi, poi, è fondamentale che la valutazione diventi un processo continuo e non un evento isolato
• vincoli relativi alle risorse - le risorse limitate possono ostacolare un'efficace implementazione di un audit basato sul rischio e questo include sia le risorse umane che gli strumenti tecnologici. Questi vincoli possono manifestarsi in diverse forme e avere un impatto significativo sull'efficacia dell'audit. Possiamo avere:
  • vincoli economici dovuti alle limitazioni del budget che possono impedire l'acquisto di strumenti avanzati per la valutazione del rischio o la formazione del personale;
  • vincoli legati al personale come la mancanza di personale qualificato;
  • vincoli temporali legati alle scadenze strette che possono compromettere la qualità dell'audit, costringendo a tagliare fasi importanti come la valutazione dettagliata del rischio;
  • vincoli tecnologici come la mancanza di infrastrutture tecnologiche adeguate per affrontare le analisi complesse
  le strategie per superare i vincoli legati alle risorse sono:
  • un approccio basato sul rischio per identificare e concentrarsi sulle aree più critiche;
  • l'adozione di metodologie lean o Six Sigma che possono contribuire a rendere i processi di audit più efficienti;
  • la formazione del personale quando non è possibile ricorrere a personale esterno:
  • l'utilizzo di software di analisi del rischio

Le "best practices" per un risk-based audit

Tra le migliori pratiche che possiamo adottare in un risk-based audit ricordiamo:

• il monitoraggio continuo dei rischi che garantisce che il piano di audit rimanga pertinente e aggiornato per adattarsi ai cambiamenti;
• il coinvolgimento delle parti interessate nel processo di audit che garantisce che gli obiettivi della verifica siano in linea con quelli organizzativi;
• l'uso della tecnologia che può automatizzare molti processi, rendendo l'audit più efficiente ed efficace

Errori comuni negli audit interni basati sul rischio

Vediamo adesso quali sono gli errori più comuni che vengono commessi durante il processo di risk-based auditing e come si può rimediare.

Trascurare di considerare alcuni rischi: la soluzione è quella di fornire una formazione completa agli auditor sul risk-based thinking, sottolineando l’importanza della valutazione dei rischi come parte del processo di audit.

Preparazione sulla documentazione insufficiente: sappiamo che le organizzazioni devono conservare le registrazioni delle proprie valutazioni del rischio, inclusi i rischi identificati, le probabilità di accadimento, l'impatto potenziale e le strategie di mitigazione. Gli auditor dovrebbero esaminare questi documenti come parte della preparazione all’audit e durante l’audit stesso.

Comunicazione inadeguata: la soluzione, in questo caso, è stabilire canali di comunicazione chiari tra gli auditor e le persone che sono oggetto dell'audit. E' bene fornire agli auditor linee guida per comunicare in modo efficace lo scopo, l’ambito e le aspettative dell’audit, incoraggiandoli anche a tenere riunioni pre-audit per rispondere a eventuali domande o dubbi.

Mancanza di integrazione della gestione del rischio nei processi: è bene promuovere una cultura di consapevolezza del rischio all'interno dell'organizzazione, incoraggiando i proprietari dei processi a integrare la gestione del rischio nelle loro attività quotidiane e nei processi decisionali. Gli auditor, infatti, tra le altre cose dovrebbero proprio valutare in che misura i rischi sono integrati nei processi.

Mancata identificazione dei rischi emergenti: non è facile accorgersi in tempo di un nuovo rischio ma si possono incoraggiare gli auditor a rimanere informati sulle tendenze del settore e a integrare un riesame dei rischi emergenti nella pianificazione dell’audit.

Trascurare le opportunità: ricordate agli auditor di cercare in modo proattivo le opportunità di miglioramento e di innovazione durante gli audit. Invitateli a fare domande relative alle opportunità e a collaborare per identificare le aree in cui è possibile apportare cambiamenti positivi.

Verbale di audit inadeguato: la soluzione potrebbe essere quella di progettare un formato di reporting standardizzato che distingua chiaramente tra i risultati relativi alla conformità e quelli relativi all'efficacia della gestione del rischio.

Mancanza di follow-up: avviate un sistema per tracciare e monitorare l'implementazione delle azioni correttive relative alla gestione del rischio e pianificare audit di follow-up per verificare l'efficacia di queste azioni.

In che modo un risk-based audit migliora la gestione della qualità?

La gestione della qualità ha fatto molta strada dai tempi dei semplici controlli di conformità e degli audit sulle procedure. Con l’avvento della ISO 9001:2015, il pensiero basato sul rischio è diventato fondamentale per migliorare i sistemi qualità, prima di tutto perché utilizza un approccio proattivo alla qualità, mentre gli audit tradizionali hanno spesso un approccio reattivo, dato che identificano le non conformità e gli errori che si sono già verificati.

Anche per quanto riguarda l'allocazione mirata delle risorse l'audit tradizionale non fa sempre un buon lavoro perché le risorse sono spesso sparse a coprono tutte le aree, indipendentemente dal loro impatto sulla qualità. Gli audit basati sul rischio, invece, consentono alle organizzazioni di concentrare le proprie risorse sulle aree ad alto rischio che hanno l’impatto più significativo sulla qualità e questo garantisce che i processi e le funzioni critici ricevano l’attenzione che meritano, portando a risultati di qualità migliore.

Gli audit basati sul rischio spesso coinvolgono team interfunzionali nel processo di identificazione e gestione del rischio e questo livello di coinvolgimento aumenta il l'"engagement" dei dipendenti che si sentono più responsabilizzati per la qualità del loro lavoro. Anche questo è importante per un sistema qualità.

Un audit risk-based lavora per un maggiore allineamento strategico, visto che la gestione della qualità non è solo una questione operativa. Audit di questo tipo aiutano ad allineare gli obiettivi della qualità con la strategia generale dell'organizzazione, concentrandosi sulla mitigazione dei rischi che potrebbero impedire il raggiungimento degli obiettivi strategici.

Un altro vantaggio che deriva da questa tipologia di audit è che gli auditor non si limitano a segnalare le non conformità ma forniscono raccomandazioni per migliorare i processi e le pratiche di gestione del rischio e questo ciclo di feedback contribuisce agli sforzi continui dell'organizzazione per perfezionare le proprie attività e raggiungere livelli più elevati di qualità ed efficienza. Riuscite a pensare a qualcosa di meglio per un sistema qualità?

Concentrandosi sui rischi che contano per gli stakeholder dell'organizzazione, inclusi clienti, gli organismi di regolamentazione e gli investitori, i risk-based audit aiutano a garantire che l'organizzazione rimanga conforme e reattiva alle aspettative esterne. Questo allineamento può portare ad una maggiore fiducia e soddisfazione tra le parti interessate.

Infine, come sappiamo, le organizzazioni operano in ambienti dinamici in cui i rischi e le opportunità si evolvono e il pensiero basato sul rischio consente agli auditor di adattare i propri piani e le strategie al mutare delle circostanze. Questa flessibilità garantisce che gli audit rimangano pertinenti ed efficaci nell’affrontare i rischi e le sfide emergenti e nel mantenere sempre aggiornato il sistema qualità.

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato. Riporteremo quotidianamente tutti i nostri articoli sulla norma)

DOMANDE FREQUENTI - FAQ FREQUENTLY ASKED QUESTIONS

Qual è l'obiettivo principale di un audit basato sul rischio?

L'obiettivo principale è concentrare gli sforzi dell'audit sulle aree più suscettibili ai rischi, rendendo così il processo più efficiente ed efficace.

In che modo l'audit basato sul rischio si differenzia dai metodi di audit tradizionali?

Gli audit di conformità tradizionali spesso seguono una checklist prestabilita e non sono adattati al profilo di rischio specifico di un'organizzazione. Al contrario, l'audit basato sul rischio personalizza l'approccio di audit in base ai rischi specifici dell'organizzazione.

L'audit basato sul rischio è applicabile a tutti i tipi di organizzazioni?

Sì, i principi dell'audit basato sul rischio sono universalmente applicabili, sebbene i rischi e i controlli specifici possano variare a seconda del settore e delle dimensioni dell'organizzazione.

Quali sono le sfide nell'implementazione di un audit basato sul rischio?

Alcune delle sfide includono la resistenza culturale, la complessità nella valutazione del rischio e i limiti legati alle risorse.

Con che frequenza devono essere aggiornate le valutazioni del rischio in un audit basato sul rischio?

Le valutazioni del rischio devono essere aggiornate regolarmente per riflettere i cambiamenti nell'ambiente aziendale. Il monitoraggio continuo è una best practice in tal senso.

La tecnologia può aiutare a condurre un audit basato sul rischio?

Assolutamente sì. La tecnologia può automatizzare molti processi di audit, rendendoli più efficienti ed efficaci.

PER SAPERNE DI PIU':

Tutti gli articoli sugli audit
Tutti gli articoli sulla ISO 9001
ISO 9001
La ISO 9001:2015