Linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale

Transcript

1 NORMA ITALIANA Linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale UNI EN ISO FEBBRAIO 2003 Guidelines for quality and/or environmental management systems auditing CLASSIFICAZIONE ICS ; SOMMARIO La norma fornisce linee guida sui principi dell attività di audit, sulla gestione dei programmi di audit, sulla conduzione dell audit del sistema di gestione per la qualità e del sistema di gestione ambientale come pure sulla competenza degli auditor di tali sistemi di gestione. Essa è destinata ad una estesa gamma di potenziali utilizzatori, che comprendono gli auditor, le organizzazioni che attuano sistemi di gestione per la qualità e/o di gestione ambientale, le organizzazioni che hanno l esigenza di condurre audit di sistemi di gestione per la qualità e/o di gestione ambientale per ragioni contrattuali e le organizzazioni che operano nella certificazione o nella formazione ed addestramento degli auditor, nella certificazione di sistemi di gestione, nell accreditamento o nella normazione nel campo della valutazione della conformità. RELAZIONI NAZIONALI La presente norma sostituisce le UNI EN ISO 14010:1996, UNI EN ISO 14011:1996, UNI EN ISO 14012:1996, UNI EN :1994, UNI EN :1994 e UNI EN :1994. RELAZIONI INTERNAZIONALI = EN ISO 19011:2002 (= ISO 19011:2002) La presente norma è la versione ufficiale in lingua italiana della norma europea EN ISO (edizione ottobre 2002) e tiene conto delle correzioni introdotte il 30 ottobre NORMA EUROPEA ORGANO COMPETENTE Commissione "Qualità ed affidabilità Commissione "Ambiente" RATIFICA Presidente dell UNI, delibera dell 11 novembre 2002 UNI Ente Nazionale Italiano di Unificazione Via Battistotti Sassi, 11B Milano, Italia UNI - Milano Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte del presente documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto dell UNI. Gr. 10 Pagina I

2 PREMESSA NAZIONALE La presente norma costituisce il recepimento, in lingua italiana, della norma europea EN ISO (edizione ottobre 2002 con correzioni del 30 ottobre 2002), che assume così lo status di norma nazionale italiana. La traduzione è stata curata dall UNI. La Commissione "Qualità ed affidabilità" e la Commissione "Ambiente" dell UNI seguono i lavori europei sull argomento per delega della Commissione Centrale Tecnica. Le norme UNI sono revisionate, quando necessario, con la pubblicazione di nuove edizioni o di aggiornamenti. È importante pertanto che gli utilizzatori delle stesse si accertino di essere in possesso dell ultima edizione e degli eventuali aggiornamenti. Si invitano inoltre gli utilizzatori a verificare l esistenza di norme UNI corrispondenti alle norme EN o ISO ove citate nei riferimenti normativi. Le norme UNI sono elaborate cercando di tenere conto dei punti di vista di tutte le parti interessate e di conciliare ogni aspetto conflittuale, per rappresentare il reale stato dell arte della materia ed il necessario grado di consenso. Chiunque ritenesse, a seguito dell applicazione di questa norma, di poter fornire suggerimenti per un suo miglioramento o per un suo adeguamento ad uno stato dell arte in evoluzione è pregato di inviare i propri contributi all UNI, Ente Nazionale Italiano di Unificazione, che li terrà in considerazione, per l eventuale revisione della norma stessa. UNI Pagina II

3 INDICE INTRODUZIONE 1 1 SCOPO E CAMPO DI APPLICAZIONE 1 2 RIFERIMENTI NORMATIVI 2 3 TERMINI E DEFINIZIONI 2 4 PRINCIPI DELL ATTIVITÀ DI AUDIT 3 5 GESTIONE DI UN PROGRAMMA DI AUDIT Generalità... 4 figura 1 Illustrazione del flusso di processo per la gestione di un programma di audit Obiettivi ed estensione di un programma di audit Responsabilità, risorse e procedure di un programma di audit Attuazione di un programma di audit Registrazioni del programma di audit Controllo e riesame del programma di audit ATTIVITÀ DI AUDIT Generalità... 9 figura 2 Visione d insieme delle attività tipiche dell audit Avvio dell audit Conduzione del riesame della documentazione Preparazione delle attività di audit sul posto Svolgimento delle attività di audit sul posto figura 3 Visione d insieme del processo dalla raccolta delle informazioni fino al raggiungimento delle conclusioni dell audit Preparazione, approvazione e distribuzione del rapporto di audit Chiusura dell audit Conduzione di azioni successive all audit COMPETENZA E VALUTAZIONE DEGLI AUDITOR Generalità figura 4 Concetto di competenza Caratteristiche personali Conoscenze e competenze Istruzione, esperienza di lavoro, formazione ed addestramento come auditor ed esperienza di audit prospetto 1 Esempio di grado di istruzione, di livelli di esperienza di lavoro, di formazione e di addestramento come auditor e di esperienza di audit per auditor che conducono audit di certificazione o simili Mantenimento e miglioramento della competenza Valutazione degli auditor figura 5 Relazioni tra le fasi di valutazione prospetto 2 Metodi di valutazione prospetto 3 Applicazione del processo di valutazione di un auditor in un ipotetico programma di audit interno APPENDICE ZA RIFERIMENTI NORMATIVI ALLE PUBBLICAZIONI INTERNAZIONALI E (normativa) PUBBLICAZIONI EUROPEE CORRISPONDENTI 31 UNI Pagina III

4 UNI Pagina IV

5 NORMA EUROPEA Linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale EN ISO EUROPEAN STANDARD NORME EUROPÉENNE Guidelines for quality and/or environmental management systems auditing (ISO 19011:2002) Lignes directrices pour l audit des systèmes de management de la qualité et/ou de management environnemental (ISO 19011:2002) OTTOBRE 2002 Sostituisce EN ISO 14010:1996, EN ISO 14011:1996, EN ISO 14012:1996, EN :1993, EN :1993 e EN :1993 EUROPÄISCHE NORM Leitfaden für Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemen (ISO 19011:2002) DESCRITTORI ICS ; La presente norma europea è stata approvata dal CEN il 9 settembre I membri del CEN devono attenersi alle Regole Comuni del CEN/CENELEC che definiscono le modalità secondo le quali deve essere attribuito lo status di norma nazionale alla norma europea, senza apportarvi modifiche. Gli elenchi aggiornati ed i riferimenti bibliografici relativi alle norme nazionali corrispondenti possono essere ottenuti tramite richiesta alla Segreteria Centrale oppure ai membri del CEN. La presente norma europea esiste in tre versioni ufficiali (inglese, francese e tedesca). Una traduzione nella lingua nazionale, fatta sotto la propria responsabilità da un membro del CEN e notificata alla Segreteria Centrale, ha il medesimo status delle versioni ufficiali. I membri del CEN sono gli Organismi nazionali di normazione di Austria, Belgio, Danimarca, Finlandia, Francia, Germania, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Malta, Norvegia, Paesi Bassi, Portogallo, Regno Unito, Repubblica Ceca, Spagna, Svezia e Svizzera. CEN COMITATO EUROPEO DI NORMAZIONE European Committee for Standardization Comité Européen de Normalisation Europäisches Komitee für Normung Segreteria Centrale: rue de Stassart, 36 - B-1050 Bruxelles 2002 CEN Tutti i diritti di riproduzione, in ogni forma, con ogni mezzo e in tutti i Paesi, sono riservati ai Membri nazionali del CEN. UNI Pagina V

6 PREMESSA Il presente documento (ISO 19011:2002) è stato elaborato dal Comitato Tecnico ISO/TC 176 "Gestione per la qualità ed assicurazione della qualità" e dall'iso/tc 207 "Gestione ambientale" in collaborazione con il CMC. Alla presente norma europea deve essere attribuito lo status di norma nazionale, o mediante pubblicazione di un testo identico o mediante notifica di adozione, entro aprile 2003, e le norme nazionali in contrasto devono essere ritirate entro aprile Il presente documento sostituisce le EN ISO 14010:1996, EN ISO 14011:1996, EN ISO 14012:1996, EN :1993, EN :1993 e EN :1993. In conformità alle Regole Comuni CEN/CENELEC, gli enti nazionali di normazione dei seguenti Paesi sono tenuti a recepire la presente norma europea: Austria, Belgio, Danimarca, Finlandia, Francia, Germania, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Malta, Norvegia, Paesi Bassi, Portogallo, Regno Unito, Repubblica Ceca, Spagna, Svezia e Svizzera. NOTIFICA DI ADOZIONE Il testo della ISO 19011:2002 è stato approvato dal CEN come EN ISO 19011:2002 senza alcuna modifica. NOTA I riferimenti normativi alle norme internazionali sono elencati nell'appendice ZA (normativa). UNI Pagina VI

7 INTRODUZIONE Le serie di norme internazionali ISO 9000 e ISO enfatizzano l importanza degli audit come strumenti di gestione per tenere sotto controllo e verificare l efficace attuazione della politica per la qualità e/o ambientale di una organizzazione. Gli audit sono anche una componente essenziale di attività di valutazione della conformità quali la certificazione esterna e la valutazione e la sorveglianza di forniture in successione. La presente norma internazionale fornisce linee guida per la gestione dei programmi di audit, la conduzione degli audit interni o esterni di sistemi di gestione per la qualità e/o di gestione ambientale, come pure per la competenza e la valutazione degli auditor. Essa è destinata ad una estesa gamma di potenziali utilizzatori, che comprendono gli auditor, le organizzazioni che attuano sistemi di gestione per la qualità e/o di gestione ambientale, le organizzazioni che hanno l esigenza di condurre audit di sistemi di gestione per la qualità e/o di gestione ambientale per ragioni contrattuali e le organizzazioni che operano nella certificazione o nella formazione ed addestramento degli auditor, nella certificazione di sistemi di gestione, nell accreditamento o nella normazione nel campo della valutazione della conformità. La guida di cui alla presente norma internazionale è volutamente flessibile. Come indicato in vari punti del testo, l utilizzazione delle presenti linee guida può variare in relazione alla dimensione, natura e complessità delle organizzazioni da sottoporre ad audit, come pure in relazione agli obiettivi ed ai campi degli audit da effettuare. La presente norma internazionale fornisce anche una guida supplementare o degli esempi su specifici argomenti, sottoforma di riquadri di "aiuto pratico". In alcuni casi, questo è destinato a supportare l utilizzazione della presente norma internazionale nelle piccole organizzazioni. Il punto 4 descrive i principi dell attività di audit. Questi principi aiutano l utilizzatore ad apprezzare la natura essenziale dell attività di audit e sono una necessaria introduzione ai punti 5, 6 e 7. Il punto 5 fornisce linee guida per la gestione di programmi di audit e copre aspetti quali l assegnazione di responsabilità per la gestione dei programmi di audit, la definizione degli obiettivi del programma di audit, il coordinamento delle attività di audit e la fornitura di risorse sufficienti per il gruppo di audit. Il punto 6 fornisce linee guida per la conduzione dell audit di sistemi di gestione per la qualità e/o di gestione ambientale, compresa la scelta dei gruppi di audit. Il punto 7 fornisce linee guida sulla competenza necessaria per un auditor e descrive un processo per la valutazione degli auditor. Nei casi in cui i sistemi di gestione per la qualità e di gestione ambientale sono attuati insieme, è lasciata libertà di scelta all utilizzatore della presente norma internazionale, di condurre i relativi audit separatamente o insieme. Sebbene la presente norma internazionale sia applicabile all attività di audit di sistemi di gestione per la qualità e/o di gestione ambientale, l utilizzatore può decidere di adattare o estendere linee guida fornite nel presente documento ad altri tipi di audit, compresi gli audit di altri sistemi di gestione. La presente norma internazionale fornisce solo linee guida, tuttavia gli utilizzatori possono applicarla per sviluppare i loro propri requisiti dell audit. Inoltre, qualsiasi altra persona o organizzazione, interessata al controllo della conformità a requisiti, quali specifiche di prodotto o leggi e regolamenti, può trovare utile le linee guida descritte nella presente norma internazionale. 1 SCOPO E CAMPO DI APPLICAZIONE La presente norma internazionale fornisce linee guida sui principi dell attività di audit, sulla gestione dei programmi di audit, sulla conduzione dell audit del sistema di gestione per la qualità e del sistema di gestione ambientale come pure sulla competenza degli auditor di tali sistemi di gestione. UNI Pagina 1

8 Essa è applicabile a tutte le organizzazioni che hanno l esigenza di eseguire audit di sistema di gestione per la qualità e/o di gestione ambientale interni o esterni o di gestire un programma di audit. L applicazione della presente norma internazionale ad altri tipi di audit è possibile in linea di principio purchè, in tali casi, si facciano specifiche considerazioni per determinare la competenza necessaria per i membri del gruppo di audit. 2 RIFERIMENTI NORMATIVI I seguenti documenti normativi contengono disposizioni valide anche per la presente norma internazionale in quanto in essa espressamente richiamati. Per i riferimenti datati, le successive modifiche o le revisioni apportate a dette pubblicazioni non si applicano. Tuttavia le parti coinvolte in accordi basati sulla presente norma internazionale sono invitate a verificare la possibilità di applicare le versioni più recenti dei documenti normativi sottoindicati. Per i riferimenti non datati vale l'ultima edizione della pubblicazione alla quale si fa riferimento. I membri dell'iso e dell'iec dispongono degli elenchi aggiornati delle norme internazionali in vigore. ISO 9000:2000 Quality management systems - Fundamentals and vocabulary ISO 14050:2002 Environmental management - Vocabulary 3 TERMINI E DEFINIZIONI Ai fini della presente norma internazionale, si applicano i termini e le definizioni fornite nella ISO 9000 e nella ISO 14050, a meno che queste non siano superate dai termini e dalle definizioni di seguito riportati. I termini le cui definizioni sono riportate in altri punti della norma, sono indicati in carattere neretto, con l indicazione del rispettivo numero di identificazione, quando sono citati in una definizione o in una nota. Questi termini in neretto possono essere sostituiti, nella definizione, dalle loro definizioni complete. 3.1 audit (audit), verifica ispettiva *) : Processo sistematico, indipendente e documentato per ottenere evidenze dell audit (3.3) e valutare con obiettività, al fine di stabilire in quale misura i criteri dell audit (3.2) sono stati soddisfatti. Nota 1 Nota 2 Nota 3 Nota 4 Gli audit interni, a volte denominati "audit di prima parte", sono effettuati, per il riesame da parte della direzione e per altri fini interni, dall organizzazione stessa, o per suo conto, e possono costituire la base per una autodichiarazione di conformità da parte dell organizzazione. In molti casi, particolarmente nelle organizzazioni più piccole, l indipendenza può essere dimostrata con l assenza di responsabilità per l attività oggetto dell audit. Gli audit esterni comprendono quelli che sono generalmente denominati "audit di seconda parte" e di "terza parte". Gli audit di seconda parte sono effettuati da chi ha un interesse nell organizzazione, quali i clienti, o da altre persone per conto degli stessi. Gli audit di terza parte sono effettuati da organismi di audit esterni indipendenti, quali quelli che rilasciano certificazioni di conformità ai requisiti della ISO 9001 e della ISO Quando i sistemi di gestione per la qualità e di gestione ambientale vengono sottoposti contemporaneamente all audit, questo viene definito "audit combinato". Quando due o più organismi di audit eseguono congiuntamente un audit su di un unica organizzazione oggetto dell audit (3.7), l audit viene definito "audit congiunto". 3.2 criteri dell audit (audit criteria): Insieme di politiche, procedure o requisiti. Nota I criteri dell audit sono utilizzati come riferimento rispetto a cui si confrontano le evidenze dell audit (3.3). *) Nota nazionale - Il termine "audit" che deriva dalla lingua latina ed è entrato a far parte della lingua nazionale, può, a seconda delle circostanze, assumere il significato di "verifica ispettiva" o di "valutazione". Nelle norme aventi per oggetto i sistemi di gestione per la qualità sono stati a tutt oggi impiegati i termini "valutatore" e "valutazione"; nelle norme aventi per oggetto i sistemi di gestione ambientale, sono stati impiegati i termini "auditor" e "audit". UNI Pagina 2

9 3.3 evidenze dell audit (audit evidence): Registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri dell audit (3.2) e verificabili. Nota Le evidenze dell audit possono essere qualitative o quantitative. 3.4 risultanze dell audit (audit findings): Risultati della valutazione delle evidenze dell audit (3.3) raccolte rispetto ai criteri dell audit (3.2). Nota Le risultanze dell audit possono indicare conformità o non conformità rispetto ai criteri dell audit o segnalare opportunità di miglioramento. 3.5 conclusioni dell audit (audit conclusion): Esito di un audit (3.1) fornito dal gruppo di audit (3.9) dopo aver preso in esame gli obiettivi dell audit e tutte le risultanze dell audit (3.4). 3.6 committente dell audit (audit client): Organizzazione o persona che richiede un audit (3.1). Nota Il committente può essere l organizzazione oggetto dell audit (3.7) o qualsiasi altra organizzazione che abbia un diritto regolamentare o contrattuale di richiedere un audit. 3.7 organizzazione oggetto dell audit (auditee): Organizzazione sottoposta all audit. 3.8 auditor (auditor), valutatore: Persona che ha la competenza (3.14) per effettuare un audit (3.1). 3.9 gruppo di audit (audit team): Uno o più auditor (3.8) che eseguono un audit (3.1), supportati, se richiesto, da esperti tecnici (3.10). Nota 1 Nota 2 Un auditor del gruppo di audit è nominato responsabile del gruppo. Il gruppo di audit può comprendere auditor in addestramento esperto tecnico (technical expert): Persona che fornisce conoscenze o competenze specifiche al gruppo di audit (3.9). Nota 1 Nota 2 La conoscenza o competenza specifica sono riferite all organizzazione, al processo o all attività da sottoporre ad audit, alla lingua o alla cultura. Un esperto tecnico non può agire come auditor (3.8) nel gruppo di audit programma di audit (audit programme): Insieme di uno o più audit (3.1) pianificati per un arco di tempo definito ed orientati verso uno scopo specifico. Nota Un programma di audit comprende tutte le attività necessarie per pianificare, organizzare ed eseguire gli audit piano dell audit (audit plan): Descrizione delle attività e delle disposizioni per la conduzione di un audit (3.1) campo dell audit (audit scope): Estensione e limiti di un audit (3.1). Nota Il campo dell audit generalmente comprende una descrizione delle localizzazioni fisiche, delle unità organizzative, delle attività e dei processi, come pure il periodo di tempo richiesto competenza (competence): Dimostrate caratteristiche personali e dimostrata capacità di saper utilizzare conoscenze ed abilità. 4 PRINCIPI DELL ATTIVITÀ DI AUDIT L attività di audit è fondata su un certo numero di principi che ne fanno uno strumento efficiente ed affidabile a supporto delle politiche e dei controlli di gestione, fornendo informazioni in base alle quali un organizzazione può agire per migliorare le proprie prestazioni. Il rispetto di questi principi è un prerequisito per fornire conclusioni dell audit pertinenti e sufficienti e per assicurare che auditor diversi, operando indipendentemente l uno dall altro, pervengano a conclusioni simili in circostanze simili. UNI Pagina 3

10 I seguenti principi si riferiscono agli auditor: a) Comportamento etico: il fondamento della professionalità Fiducia, integrità, riservatezza e discrezione sono essenziali per l attività di audit. b) Presentazione imparziale: l obbligo di riportare fedelmente e con precisione Le risultanze, le conclusioni ed i rapporti di audit riflettono fedelmente ed accuratamente le attività di audit. Vengono riportati gli ostacoli significativi incontrati durante l audit e le opinioni divergenti non risolte tra il gruppo di audit e l organizzazione oggetto dell audit. c) Adeguata professionalità: l applicazione di accuratezza e di discernimento nell attività di audit Gli auditor pongono un attenzione di livello adeguato all importanza del compito che essi svolgono e alla fiducia riposta in loro dai committenti dell audit e dalle altre parti interessate. È fondamentale che essi posseggano le competenze necessarie. Ulteriori principi fanno riferimento al processo dell audit che è per definizione indipendente e sistematico: d) Indipendenza: la base per l imparzialità dell audit e l obiettività delle sue conclusioni Gli auditor sono indipendenti dall attività oggetto dell audit e sono liberi da pregiudizi e conflitto d interesse. Gli auditor conservano uno stato di obiettività di pensiero durante il processo dell audit per assicurare che le risultanze e le conclusioni dell audit siano basate solo sulle evidenze dell audit. e) Approccio basato sull evidenza: il metodo razionale per raggiungere conclusioni dell audit affidabili e riproducibili in un processo dell audit sistematico Le evidenze dell audit sono verificabili. Esse si basano su campioni di informazioni disponibili, poiché un audit è effettuato in un periodo di tempo limitato e con risorse limitate. L uso appropriato del campionamento è strettamente connesso con il livello di confidenza che può essere riposto sulle conclusioni dell audit. Le linee guida fornite nei punti successivi della presente norma internazionale sono basate sui principi sopra enunciati. 5 GESTIONE DI UN PROGRAMMA DI AUDIT 5.1 Generalità A seconda delle dimensioni, natura e complessità dell organizzazione da sottoporre ad audit, il programma può prevedere uno o più audit. Questi audit possono avere vari obiettivi e possono anche includere audit congiunti o combinati (vedere note 3 e 4 della definizione dell audit in 3.1). Un programma di audit comprende anche tutte le attività necessarie per pianificare ed organizzare i tipi ed il numero di audit e fornire le risorse per svolgerli efficacemente ed efficientemente entro i limiti di tempo stabiliti. Un organizzazione può stabilire più di un programma di audit. L alta direzione dell organizzazione dovrebbe garantire l autorità per la gestione del programma di audit. I responsabili della gestione dell attività di audit dovrebbero a) stabilire, attuare, tenere sotto controllo, riesaminare e migliorare il programma di audit; b) individuare le risorse necessarie ed assicurare che esse siano messe a disposizione. La figura 1 illustra il flusso del processo per la gestione di un programma di audit. UNI Pagina 4

11 figura 1 Illustrazione del flusso di processo per la gestione di un programma di audit Nota 1 Nota 2 La figura 1 illustra anche l applicazione della metodologia P-D-C-A (Pianificare-Fare-Verificare-Agire) nella presente norma internazionale. I numeri nella presente figura e nelle successive si riferiscono ai punti della presente norma internazionale. Se un organizzazione da sottoporre ad audit utilizza entrambi i sistemi di gestione per la qualità e di gestione ambientale, si può decidere che il programma di audit comprenda audit combinati. In tal caso, speciale attenzione dovrebbe essere rivolta alle competenze del gruppo di audit. Due o più organizzazioni che attuano un audit possono cooperare, come parte dei loro programmi di audit, per condurre un audit congiunto. In tal caso, si dovrebbe prestare particolare attenzione alla ripartizione delle responsabilità, alla predisposizione di eventuali risorse aggiuntive, alle competenze necessarie nel gruppo di audit ed alle procedure appropriate. Prima che l audit abbia inizio si dovrebbe raggiungere l accordo su tali punti. UNI Pagina 5

12 Aiuto pratico - Esempi di programmi di audit Esempi di programmi di audit sono i seguenti: a) una serie di audit interni relativi ad un sistema di gestione per la qualità dell organizzazione esteso all anno in corso; b) audit di sistemi di gestione di seconda parte di potenziali fornitori di prodotti critici, da condursi entro 6 mesi; c) audit di certificazione e sorveglianza condotti da un organismo di certificazione di terza parte su un sistema di gestione ambientale entro un periodo di tempo concordato contrattualmente tra l organismo di certificazione ed il committente. Un programma di audit comprende anche una pianificazione appropriata, la fornitura di risorse e la definizione di procedure per attuare l audit nell ambito del programma. 5.2 Obiettivi ed estensione di un programma di audit Obiettivi di un programma di audit Dovrebbero essere stabiliti gli obiettivi di un programma di audit, al fine di dare indicazioni sulla sua pianificazione e esecuzione. Questi obiettivi possono essere basati su considerazioni relative a a) priorità della gestione; b) politica commerciale; c) requisiti del sistema di gestione; d) requisiti legali, regolamentari e contrattuali; e) esigenza di valutare i fornitori; f) esigenze del cliente; g) esigenze di altre parti interessate; h) rischi per l organizzazione. Aiuto pratico - Esempi di obiettivi di un programma di audit Esempi di obiettivi di un programma di audit sono i seguenti: a) soddisfare i requisiti per la certificazione rispetto ad una norma di sistema di gestione; b) verificare la conformità ai requisiti contrattuali; c) ottenere e conservare la fiducia sull idoneità di un fornitore; d) contribuire al miglioramento del sistema di gestione Estensione di un programma di audit L estensione di un programma di audit può variare ed essere influenzata dalla dimensione, dalla natura e dalla complessità dell organizzazione da sottoporre ad audit, così come da quanto segue: a) il campo, l obiettivo e la durata di ogni audit da attuare; b) la frequenza degli audit da attuare; c) il numero, l importanza, la complessità, l analogia e le localizzazioni delle attività da sottoporre ad audit; d) le norme, le leggi, i requisiti regolamentati e contrattuali ed altri criteri dell audit; e) l esigenza di accreditamento o di certificazione; f) le conclusioni di precedenti audit o i risultati del riesame di un precedente programma di audit; g) la lingua, gli aspetti culturali e sociali; UNI Pagina 6

13 h) le problematiche delle parti interessate; i) le modifiche significative di un organizzazione o delle sue attività. 5.3 Responsabilità, risorse e procedure di un programma di audit Responsabilità di un programma di audit La responsabilità per la gestione di un programma di audit dovrebbe essere assegnata a una o più persone che abbiano una conoscenza completa dei principi dell audit, della competenza degli auditor e dell applicazione delle tecniche dell audit. Queste persone dovrebbero avere capacità di gestione ed inoltre conoscenze tecniche e delle pratiche relative alle attività da sottoporre ad audit. I responsabili della gestione del programma di audit dovrebbero: a) stabilire gli obiettivi e l estensione del programma di audit; b) stabilire le responsabilità e le procedure e assicurare che siano fornite le risorse; c) assicurare l attuazione del programma di audit; d) assicurare che siano conservate appropriate registrazioni del programma di audit; e) tenere sotto controllo, riesaminare e migliorare il programma di audit Risorse del programma di audit Nell individuazione delle risorse necessarie per il programma di audit, dovrebbero essere presi in considerazione a) le risorse economico-finanziarie necessarie per l elaborazione, l attuazione, la gestione ed il miglioramento delle attività di audit; b) le tecniche dell audit; c) i processi per conseguire e mantenere le competenze degli auditor, e per migliorare le loro prestazioni; d) la disponibilità di auditor e di esperti tecnici aventi competenza appropriata agli obiettivi del particolare programma di audit; e) l estensione del programma di audit; f) il tempo di viaggio, la sistemazione ed altre esigenze richieste dall attività di audit Procedure del programma di audit Le procedure per il programma di audit dovrebbero tener conto di quanto segue: a) la pianificazione e la programmazione degli audit; b) l assicurazione della competenza degli auditor e dei responsabili del gruppo di audit; c) la costituzione di appropriati gruppi di audit e l assegnazione dei rispettivi ruoli e responsabilità; d) la conduzione degli audit; e) l esecuzione delle azioni successive all audit, se necessarie; f) la conservazione delle registrazioni del programma di audit; g) il controllo delle prestazioni e dell efficacia del programma di audit; h) il rapporto all alta direzione sulle acquisizioni complessive del programma di audit. Per le organizzazioni più piccole, le suddette attività possono essere oggetto di un unica procedura. 5.4 Attuazione di un programma di audit L attuazione di un programma di audit dovrebbe comprendere quanto segue: a) la comunicazione del programma di audit alle parti interessate; b) il coordinamento e la programmazione degli audit e delle altre attività del programma di audit; UNI Pagina 7

14 c) l attuazione e il mantenimento di un processo per la valutazione iniziale degli auditor e per il loro sviluppo professionale continuo, in conformità rispettivamente con 7.6 e 7.5; d) la garanzia che vengano costituiti gruppi di audit; e) la fornitura delle risorse necessarie per i gruppi di audit; f) la garanzia che gli audit vengano eseguiti secondo il programma prestabilito; g) la garanzia che vengano tenute sotto controllo le registrazioni delle attività di audit; h) la garanzia del riesame ed approvazione dei rapporti di audit e la garanzia della loro distribuzione al committente dell audit ed alle altre parti specificate; i) la garanzia che vengano effettuate, se applicabile, le azioni a seguire dell audit. 5.5 Registrazioni del programma di audit Dovrebbero essere conservate registrazioni per dimostrare l attuazione del programma di audit e tali registrazioni dovrebbero comprendere quanto segue: a) le registrazioni relative ai singoli audit, quali - i piani dell audit, - i rapporti di audit, - i rapporti di non conformità, - i rapporti di azioni correttive e preventive, - i rapporti di azioni successive all audit, se applicabili; b) i risultati del riesame del programma di audit; c) le registrazioni relative al personale coinvolto nell audit, riguardanti argomenti quali - la valutazione delle competenze e delle prestazioni dell auditor, - la composizione del gruppo di audit, - il mantenimento ed il miglioramento delle competenze. Le registrazioni dovrebbero essere conservate e controllate con adeguata sicurezza. 5.6 Controllo e riesame del programma di audit L attuazione del programma di audit dovrebbe essere controllata e riesaminata ad intervalli appropriati per valutare se i suoi obiettivi siano stati raggiunti e per identificare opportunità di miglioramento. I risultati dovrebbero essere comunicati all alta direzione. Si dovrebbero utilizzare indicatori di prestazione per controllare caratteristiche quali: - la capacità dei gruppi di audit di attuare il piano dell audit; - la conformità con i programmi e il rispetto della tempistica dell audit; - le informazioni di ritorno dai committenti degli audit, dalle organizzazioni oggetto degli audit e dagli auditor. Il riesame del programma di audit dovrebbe considerare, per esempio: a) i risultati dei controlli e le conseguenze che ne derivano; b) la conformità con le procedure; c) l evoluzione delle esigenze e delle aspettative delle parti interessate; d) le registrazioni del programma di audit; e) le prassi alternative o nuove relative alle attività di audit; f) la coerenza nelle prestazioni tra gruppi di audit in situazioni simili. I risultati dei riesami del programma di audit possono condurre ad azioni correttive e preventive ed al miglioramento del programma di audit. UNI Pagina 8

15 6 ATTIVITÀ DI AUDIT 6.1 Generalità Questo punto contiene linee guida per pianificare e condurre attività di audit come parte di un programma di audit. La figura 2 fornisce una visione complessiva di attività tipiche dell audit. La misura in cui i requisiti di questo punto sono applicabili dipende dal campo e dalla complessità dello specifico audit e dall utilizzazione prevista delle conclusioni dell audit. UNI Pagina 9

16 figura 2 Visione d insieme delle attività tipiche dell audit Nota Le linee tratteggiate indicano che eventuali azioni successive all audit generalmente non sono considerate come facenti parte dell audit. UNI Pagina 10

17 6.2 Avvio dell audit Nomina del responsabile del gruppo di audit I responsabili della gestione del programma di audit dovrebbero nominare il responsabile del gruppo di audit per ciascun specifico audit. Ove si conduca un audit congiunto, è importante raggiungere l accordo tra gli organismi dell audit prima dell inizio dell audit sulle responsabilità specifiche di ogni organismo, particolarmente con riferimento all autorità del responsabile del gruppo costituite per l attuazione dell audit Definizione degli obiettivi, del campo e dei criteri dell audit Nel quadro degli obiettivi complessivi di un programma di audit, ogni audit dovrebbe essere basato su obiettivi, campo e criteri documentati. Gli obiettivi dell audit definiscono ciò che deve essere portato a termine dall audit e possono comprendere quanto segue: a) determinazione del grado di conformità del sistema di gestione dell organizzazione oggetto dell audit, o di parti di tale sistema, rispetto ai criteri dell audit; b) valutazione della capacità del sistema di gestione di assicurare la conformità con i requisiti cogenti e contrattuali; c) valutazione dell'efficacia del sistema di gestione nel conseguire obiettivi specificati; d) identificazione di aree di potenziale miglioramento del sistema di gestione. Il campo dell audit descrive l estensione ed i limiti dell audit, quali localizzazioni fisiche, unità organizzative, attività e processi da sottoporre ad audit, ed il periodo di tempo interessato dall audit. I criteri dell audit sono utilizzati come riferimento rispetto a cui si determina la conformità e possono comprendere le politiche, le procedure, le norme, le leggi ed i regolamenti, i requisiti del sistema di gestione, i requisiti contrattuali o i codici di buona pratica del settore industriale/commerciale applicabili. Gli obiettivi dell audit dovrebbero essere definiti dal committente dell audit. Il campo dell audit ed i criteri dell audit dovrebbero essere definiti tra il committente dell audit ed il responsabile del gruppo di audit secondo le procedure del programma. Eventuali modifiche degli obiettivi, del campo o dei criteri dell audit dovrebbero essere concordate dalle medesime parti. Ove si debba condurre un audit combinato, è importante che il responsabile del gruppo di audit assicuri che gli obiettivi, il campo ed i criteri dell audit siano appropriati alla natura dell audit combinato Determinazione della fattibilità dell audit La fattibilità dell audit dovrebbe essere determinata prendendo in esame fattori quali la disponibilità di: - informazioni sufficienti ed appropriate per pianificare l audit; - adeguata collaborazione da parte dell organizzazione oggetto dell audit; - tempo e risorse adeguati. Qualora l audit non sia fattibile, dovrebbe essere proposta al committente dell audit un alternativa, a seguito di consultazione con l organizzazione oggetto dell audit Costituzione del gruppo di audit Qualora l audit sia stato dichiarato fattibile, dovrebbe essere costituito un gruppo di audit tenendo conto delle competenze necessarie per conseguire gli obiettivi prefissati. Quando vi sia un solo auditor, egli dovrebbe svolgere tutti i compiti affidati a un responsabile di gruppo di audit. Il punto 7 contiene linee guida per la determinazione delle competenze necessarie e descrive i processi per la valutazione degli auditor. UNI Pagina 11

18 Quando si decidono la dimensione e la composizione del gruppo di audit, si dovrebbe considerare quanto segue: a) gli obiettivi, il campo, i criteri e la durata prevista dell audit; b) se si tratta di un audit combinato o congiunto; c) le competenze complessive del gruppo di audit necessarie per conseguire gli obiettivi prefissati; d) i requisiti cogenti, contrattuali e di accreditamento/certificazione, se applicabili; e) la necessità di assicurare l indipendenza del gruppo di audit dalle attività da sottoporre ad audit e di evitare conflitto di interessi; f) la capacità dei membri del gruppo di audit di interagire in modo efficace con l organizzazione oggetto dell audit e di lavorare insieme; g) la lingua dell audit e la comprensione delle particolari caratteristiche sociali e culturali dell organizzazione oggetto dell audit; questi aspetti possono essere assicurati sia mediante l abilità propria dell auditor sia mediante il supporto di un esperto tecnico. Il processo per assicurare la competenza complessiva del gruppo di audit dovrebbe comprendere le seguenti fasi: - l identificazione delle conoscenze e delle competenze necessarie per conseguire gli obiettivi dell audit; - la scelta dei membri del gruppo di audit in modo tale che la totalità delle conoscenze e delle competenze siano presenti nel gruppo di audit. Se non pienamente coperte dagli auditor nel gruppo di audit, le conoscenze e le competenze necessarie possono essere assicurate includendo quanto previsto in g). Gli esperti tecnici dovrebbero operare sotto la direzione di un auditor. Auditor in addestramento possono essere inclusi nel gruppo di audit, ma non dovrebbero operare senza essere diretti o consigliati. Sia il committente dell audit sia l organizzazione oggetto dell audit possono richiedere la sostituzione di particolari membri del gruppo di audit con motivazioni ragionevoli basate sui principi dell attività di audit descritti in 4. Esempi di motivazioni ragionevoli comprendono situazioni di conflitto di interesse (come nel caso di un membro del gruppo di audit che sia stato in precedenza dipendente dell organizzazione oggetto dell audit o gli abbia fornito servizi di consulenza) e comportamento precedente non etico. Tali ragioni dovrebbero essere comunicate al responsabile del gruppo di audit ed ai responsabili della gestione del programma di audit che dovrebbero risolvere il problema con il committente dell audit e con l organizzazione oggetto dell audit prima di assumere eventuali decisioni sulla sostituzione di membri del gruppo di audit Presa di contatto iniziale con l organizzazione oggetto dell audit Il contatto iniziale per l audit con l organizzazione oggetto dell audit può essere formale o informale, ma dovrebbe essere stabilito dai responsabili della gestione del programma di audit o dal responsabile del gruppo di audit. Lo scopo del contatto iniziale consiste in: a) stabilire canali di comunicazione con il rappresentante dell organizzazione oggetto dell audit; b) confermare la legittimità della conduzione dell audit; c) fornire informazioni sulla tempistica proposta e sulla composizione del gruppo di audit; d) richiedere l accesso ai documenti pertinenti, incluse le registrazioni; e) determinare le regole di sicurezza applicabili sul posto; f) predisporre quanto necessario per l audit; g) prendere accordi sulla presenza di osservatori e sulla necessità di guide per il gruppo di audit. UNI Pagina 12

19 6.3 Conduzione del riesame della documentazione La documentazione dell organizzazione oggetto dell audit dovrebbe essere riesaminata prima dello svolgimento dell audit sul posto per determinare la conformità del sistema, come documentato, con i criteri dell audit. La documentazione può comprendere documenti e registrazioni del sistema di gestione pertinenti, e rapporti di audit precedenti. Il riesame dovrebbe prendere in considerazione la dimensione, la natura e la complessità dell'organizzazione, nonché gli obiettivi ed il campo dell audit. In alcune situazioni, questo riesame può essere rinviato fino all inizio delle attività sul posto, se ciò non risulti dannoso per l efficace conduzione dell audit. In altre situazioni può essere necessaria una visita preliminare sul posto per ottenere una buona visione complessiva delle informazioni disponibili. Qualora si rilevi che la documentazione risulti inadeguata, il responsabile del gruppo di audit dovrebbe informare il committente dell audit, i responsabili della gestione del programma di audit e l organizzazione oggetto dell audit. Si dovrebbe prendere una decisione se continuare o sospendere l audit fino a che le perplessità sulla documentazione siano state risolte. 6.4 Preparazione delle attività di audit sul posto Preparazione del piano dell audit Il responsabile del gruppo di audit dovrebbe preparare un piano dell audit per fornire la base per l accordo sulla conduzione dell audit, tra il committente dell audit, il gruppo di audit e l organizzazione oggetto dell audit. Il piano dovrebbe facilitare la programmazione ed il coordinamento delle attività di audit. Il livello di dettaglio fornito nel piano dell audit ne dovrebbe riflettere il campo e la complessità. I dettagli possono essere differenti, per esempio, fra audit iniziali e successivi come pure fra audit interni ed esterni. Il piano dell audit dovrebbe essere sufficientemente flessibile da permettere modifiche, quali variazioni nel campo dell audit, che possano diventare necessarie man mano che progrediscono le attività di audit sul posto. Il piano dell audit dovrebbe comprendere quanto segue: a) gli obiettivi dell audit; b) i criteri dell audit e tutti i documenti di riferimento; c) il campo dell audit, compresa l identificazione delle unità organizzative e funzionali e dei processi da sottoporre ad audit; d) le date ed i luoghi ove si devono attuare le attività di audit sul posto; e) la stima del tempo e della durata per le attività di audit sul posto, comprese le riunioni con la direzione dell organizzazione oggetto dell audit e le riunioni del gruppo di audit; f) i ruoli e le responsabilità dei membri del gruppo di audit e degli accompagnatori; g) l assegnazione di appropriate risorse per le aree critiche dell audit. Il piano dell audit dovrebbe inoltre comprendere, nel modo appropriato, quanto segue: h) l identificazione del rappresentante dell organizzazione oggetto dell audit, per ciò che si riferisce all audit; i) la lingua utilizzata nelle attività e nei rapporti di audit, se differente dalla lingua dell auditor e/o dell organizzazione oggetto dell audit; j) le voci del rapporto di audit; k) le indicazioni per la logistica (spostamenti, sistemazioni sul posto, ecc.); l) gli aspetti soggetti a vincoli di riservatezza; m) le eventuali azioni successive all audit. Il piano dovrebbe essere riesaminato ed accettato dal committente dell audit e presentato all organizzazione oggetto dell audit prima che inizino le attività di audit sul posto. UNI Pagina 13

20 Eventuali obiezioni da parte dell organizzazione oggetto dell audit dovrebbero essere risolte fra il responsabile del gruppo di audit, l organizzazione oggetto dell audit e il committente dell audit. Ogni revisione del piano dell audit dovrebbe essere concordata fra le parti interessate prima di avviare l audit Assegnazione dei compiti al gruppo di audit Il responsabile del gruppo di audit, di concerto con il gruppo stesso, dovrebbe assegnare a ciascun membro del gruppo la responsabilità di sottoporre ad audit specifici processi del sistema di gestione, funzioni, luoghi, aree o attività. Nell assegnare tali compiti si dovrebbe tener conto delle esigenze di indipendenza e di competenza dell auditor, di un utilizzazione efficiente delle risorse come pure dei differenti ruoli e responsabilità degli auditor, degli auditor in addestramento e degli esperti tecnici. Man mano che l audit progredisce possono essere effettuate delle modifiche alla assegnazione dei compiti, per assicurare il raggiungimento degli obiettivi dell audit Preparazione dei documenti di lavoro I membri del gruppo di audit dovrebbero riesaminare le informazioni pertinenti agli incarichi ricevuti e preparare documenti di lavoro necessari per fini di riferimento e di registrazione delle attività di audit. Tali documenti di lavoro possono comprendere - liste di riscontro e piani di campionamento dell audit; - moduli per registrare le informazioni, quali evidenze di supporto, risultanze dell audit e registrazione delle riunioni. L'utilizzazione di liste di riscontro e di moduli non dovrebbe limitare l estensione delle attività di audit, che possono cambiare come risultato di informazioni raccolte durante il suo svolgimento. I documenti di lavoro, incluse le registrazioni che risultano dalla loro utilizzazione, dovrebbero essere conservati almeno fino al termine dell audit. La conservazione di documenti dopo la conclusione dell audit è descritta in 6.7. I documenti che riguardano informazioni riservate o di esclusiva proprietà dovrebbero essere opportunamente salvaguardati in ogni momento dai membri del gruppo di audit. 6.5 Svolgimento delle attività di audit sul posto Svolgimento della riunione di apertura Dovrebbe essere tenuta una riunione di apertura con la direzione dell organizzazione oggetto dell audit o, ove appropriato, con i responsabili delle funzioni o dei processi da sottoporre ad audit. Lo scopo di una riunione di apertura è di a) confermare il piano dell audit; b) fornire una breve sintesi di come verranno eseguite le attività di audit; c) confermare i canali di comunicazione; d) offrire all organizzazione oggetto dell audit l'opportunità di porre domande. UNI Pagina 14

21 Aiuto pratico - Riunione di apertura In molti casi, per esempio negli audit interni in una piccola organizzazione, la riunione di apertura può semplicemente consistere nella comunicazione che sta per essere condotto un audit e nella spiegazione della sua natura. Per altre situazioni dell audit, la riunione dovrebbe essere formale e la presenza dei partecipanti dovrebbe essere registrata. La riunione dovrebbe essere presieduta dal responsabile del gruppo di audit, e dovrebbero essere presi in esame i seguenti punti, ove appropriato: a) la presentazione dei partecipanti, compresa una descrizione dei loro ruoli; b) la conferma degli obiettivi, dell estensione e dei criteri di esecuzione dell audit; c) la conferma, con l organizzazione oggetto dell audit, dei tempi previsti e di ogni altra disposizione pertinente, come la data e il tempo della riunione di chiusura, di ogni riunione intermedia fra il gruppo di audit e la direzione dell organizzazione oggetto dell audit e di ogni modifica dell ultima ora; d) i metodi e le procedure da utilizzare per condurre l audit, inclusa l informazione all organizzazione oggetto dell audit che le evidenze dell audit sono basate solo su di un campione delle informazioni disponibili e che pertanto esiste un elemento di incertezza nell attività di audit; e) la conferma di canali di comunicazione formale fra il gruppo di audit e l organizzazione oggetto dell audit; f) la conferma della lingua da utilizzare durante l audit; g) la conferma che, durante l audit, l organizzazione oggetto dell audit sarà tenuta informata del progresso dell audit; h) la conferma che siano disponibili le risorse e quanto necessario al gruppo di audit; i) la conferma degli aspetti da trattare con riservatezza; j) la conferma, per il gruppo di audit, di idonee condizioni di sicurezza sul lavoro, di procedure per l'emergenza e la security; k) la conferma della disponibilità, dei ruoli e dell identità di eventuali guide; l) il metodo di preparazione dei rapporti, comprese le eventuali classificazioni delle non conformità; m) le informazioni circa le condizioni alle quali l audit può essere concluso; n) le informazioni riguardanti eventuali modalità di ricorso sulla conduzione o sulle conclusioni dell audit Comunicazione durante l audit A seconda del campo e della complessità dell audit, può essere necessario adottare, durante l audit, provvedimenti formali per la comunicazione all interno del gruppo di audit e con l organizzazione oggetto dell audit. Il gruppo di audit dovrebbe consultarsi periodicamente per scambiarsi informazioni, valutare il progresso dell audit e riassegnare compiti tra gli auditor, se necessario. Durante l audit, il responsabile del gruppo di audit dovrebbe comunicare periodicamente il progredire dell audit ed eventuali problemi all organizzazione oggetto dell audit ed al committente dell audit, se opportuno. Le evidenze raccolte nel corso dello svolgimento dell audit che indichino un rischio immediato e significativo (per esempio legato alla sicurezza, all ambiente o alla qualità) dovrebbero essere riportate senza ritardo all organizzazione oggetto dell audit e, quando opportuno, al committente dell audit. Eventuali problemi riguardanti un aspetto al di fuori del campo dell audit dovrebbero essere annotati e riportati al responsabile del gruppo di audit, per la possibile comunicazione al committente dell audit ed all organizzazione oggetto dell audit. UNI Pagina 15

22 Ove le evidenze dell audit disponibili indichino che gli obiettivi dell audit sono irraggiungibili, il responsabile del gruppo di audit dovrebbe riportarne le ragioni al committente dell audit ed all organizzazione oggetto dell audit per determinare azioni appropriate. Tali azioni possono comprendere la riconferma o la modifica del piano dell audit, modifiche negli obiettivi o nel campo dell audit, o l interruzione dell audit. Eventuali esigenze di modifiche del campo dell audit che possano evidenziarsi man mano che le attività di audit sul posto progrediscono dovrebbero essere riesaminate con il committente dell audit e, come opportuno, con l organizzazione oggetto dell audit e dovrebbero essere approvate da entrambi Ruoli e responsabilità di guide ed osservatori Guide ed osservatori possono accompagnare il gruppo di audit, ma non fanno parte di esso. Essi non dovrebbero influenzare o interferire con l'esecuzione dell audit. Ove da parte dell organizzazione oggetto dell audit siano incaricate guide, queste dovrebbero assistere il gruppo di audit ed agire su richiesta del responsabile del gruppo di audit. Le loro responsabilità possono comprendere quanto segue: a) stabilire contatti e tempistica per le interviste; b) organizzare visite a parti specifiche del luogo o dell organizzazione; c) assicurare che le regole concernenti la sicurezza sul posto e le procedure di security siano conosciute e rispettate dai membri del gruppo di audit; d) presenziare all audit per incarico dell organizzazione oggetto dell audit; e) fornire chiarimenti o assistenza per la raccolta delle informazioni Raccolta e verifica delle informazioni Le informazioni relative agli obiettivi, al campo ed ai criteri dell audit, comprese le informazioni relative alle interfacce fra le funzioni, le attività ed i processi, dovrebbero essere raccolte mediante opportuno campionamento durante l audit e dovrebbero essere verificate. Solo le informazioni verificabili possono costituire evidenze dell audit e dovrebbero essere registrate. Le evidenze dell audit sono basate su campioni delle informazioni disponibili. Esiste quindi un elemento di incertezza nell attività di audit, per cui coloro che traggono le conclusioni dell audit ne dovrebbero essere consapevoli. La figura 3 fornisce una rappresentazione delle fasi del processo, dalla raccolta delle informazioni fino al raggiungimento delle conclusioni dell audit. UNI Pagina 16