Politica. Audit. Riesame della direzione

Transcript

1 1 AUDIT

2 Valuta l adeguatezza Politica Obiettivi, traguardi e programmi Verifica l attuazione Valuta l adeguatezza Verifica la conformità Prescrizioni legali e altre SGA Miglioramento continuo Fornisce informazioni Audit Valuta la capacità del processo Verifica la conformità alla norma di riferimento, adeguatezza ed efficacia nell attuare la politica Riesame della direzione Valuta l adeguatezza 2

3 Definizione: Audit del SGA (ISO 14001) Audit Interno: Processo sistematico, indipendente e documentato atto ad ottenere le evidenze di audit e valutarle con obiettività, per determinare in che misura i criteri di audit del sistema di gestione ambientale stabiliti dall organizzazione siano soddisfatti. Nota 1 un audit interno è condotto dall organizzazione o da una parte esterna per suo conto Nota 2 un audit può essere combinato Nota 3 l indipendenza può essere dimostrata attraverso la libertà da ogni responsabilità per l attività oggetto dell audit. Nota 4 le evidenze dell audit consistono in registrazioni, dichiarazioni pertinenti e verificabili; i criteri sono un insieme di politiche, procedure o requisiti utilizzati come riferimento rispetto ai quali le evidenze sono confrontate. Nella UNI EN ISO 9001:2000 sono utilizzati anche i termini "valutatore" e "verifica ispettiva", ma in questo contesto si preferisce l utilizzo di "auditor" ed "audit". 3

4 9.2 Audit interno del SGA (ISO 14001) L organizzazione deve condurre, a intervalli pianificati, audit interni del sistema di gestione ambientale, allo scopo di fornire informazioni per accertare se il sistema di gestione ambientale: a) è conforme ai: 1) Requisiti propri dell organizzazione per il suo sistema di gestione ambientale; 2) Requisiti della presente norma internazionale 2) è efficacemente attuato e mantenuto attivo; L organizzazione deve stabilire, attuare e mantenere uno o più programmi di audit interni, comprensivo di frequenza, metodi, responsabilità, requisiti di pianificazione e reporting dei propri audit interni. 4

5 9.2 Audit interno del SGA (ISO 14001) Nello stabilire il proprio programma di audit interno, l organizzazione deve tenere in considerazione l importanza ambientale dei processi coinvolti, dei cambiamenti che influenzano l organizzazione e dei risultati degli audit precedenti. L organizzazione deve: a) Definire i criteri degli audit e il campo di applicazione b) Selezionare gli auditor e condurre gli audit in modo tale da assicurare l obiettività e l imparzialità del processo c) Assicurare che i risultati siano riportati al pertinente livello direzionale. L organizzazione deve conservare informazioni documentate quale evidenza dell attuazione del programma di audit e dei risultati di audit. 5

6 Definizione: Audit del SGA (EMAS) EMAS: (Audit ambientale) Uno strumento di gestione comprendente una valutazione sistematica, documentata, periodica e obiettiva dell efficienza dell Organizzazione, del sistema di gestione e dei processi destinati alla protezione dell ambiente, al fine di: I. facilitare il controllo di gestione delle prassi che possono avere un impatto sull ambiente II. valutare la conformità alle politiche ambientali aziendali 6

7 Tipologia di Audit Audit Interni Audit di prima parte Sono effettuati, per fini interni, dall organizzazione stessa, o per suo conto. Audit Esterni Audit di seconda parte Sono effettuati da chi ha un interesse nell organizzazione, quali i clienti, compratori, o da altre persone per conto degli stessi. Audit di terza parte Sono effettuati da organismi esterni indipendenti. Tali organismi rilasciano certificazioni di conformità a requisiti delle norme di riferimento. 7

8 Tipologia di Audit Audit Esterni Audit di terza parte - Di rischio: valutazione rischi e danni a seguito incidenti - Due Diligence: valutazione approfondita di una società industriale, commerciale o di servizi al fine di determinare la convenienza a procedere verso una determinata transazione - Di certificazione: verifica di conformità ai requisiti di una Norma e rilascio di un formale riconoscimento 8

9 Iter certificativo del SGA Tre audit + 1 svolti da ente terzo di certificazione (DNV ecc) Precertificativa 1a visita preliminare: conformita legislativa 2a visita documentale conformita documentale 3. verifica ispettiva iniziale: effettiva conformità del sistema certificazione verifiche periodiche di mantenimento 9

10 Riferimenti normativi attuali ISO E stata emessa una Linea Guida applicabile agli Audit dei sistemi di gestione ISO

11 La norma UNI EN ISO

12 UNI EN ISO INDICE 1. Premessa 2. Termini e definizioni 3. Principi dell'attività di audit 4. Gestione di un programma di audit 5. Attività di audit 6. Competenza e valutazione degli auditor 12 12

13 UNI EN ISO PREMESSA L'ISO - International Organization for Standardization - Associazione mondiale di organismi nazionali di normazione. L'elaborazione delle norme internazionali è effettuata dai suoi comitati tecnici 13 13

14 UNI EN ISO PREMESSA Comitato Tecnico ISO/TC 176 "Quality management and quality assurance". Sottocomitato SC3, "Supporting technologies" Comitato Tecnico ISO/TC 207 "Environmental management". Sottocomitato SC2, "Environmental auditing and related environmental investigations'. UNI EN ISO

15 UNI EN ISO PREMESSA - STRUMENTO GUIDA per la gestione di programmi di audit, per la pianificazione e conduzione di audit interni od esterni di sistemi di gestione, per la competenza e la valutazione degli auditor

16 1. PREMESSA - POTENZIALI UTILIZZATORI > Auditor > Organizzazioni che attuano sistemi di gestione > Organizzazioni che hanno l'esigenza di condurre Audit per ragioni contrattuali > Organizzazioni che operano nella certificazione > Organizzazioni che operano nella formazione ed addestramento degli Auditor > Organizzazioni che operano nell'accreditamento o nella normazione nel campo della valutazione della conformità

17 1. PREMESSA I PUNTI della NORMA o punto 4 : principi dell'attività di Audit (questi aiutano l'utilizzatore ad apprezzare la natura essenziale dell'attività di Audit e sono una necessaria introduzione ai punti 5, 6 e 7). o punto 5 : guida per la gestione di programmi di Audit e copre Aspetti quali l'assegnazione di responsabilità per la gestione di programmi di Audit, la definizione degli obiettivi del programma di Audit, il coordinamento delle attività di Audit e la fornitura di risorse sufficienti per il gruppo di Audit. o punto 6: guida per la conduzione di Audit di sistemi di gestione per la qualità e/o di gestione ambientale, compresa la scelta dei gruppi di Audit. o punto 7: guida sulla competenza necessaria per un Auditor e descrive un processo per la valutazione degli Auditor

18 2. TERMINI E DEFINIZIONI 2.1 Audit, verifica ispettiva (*) Processo sistematico, indipendente e documentato per ottenere evidenze dell'audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell audit sono stati soddisfatti. (*) Nei sistemi di gestione ambientale il termine "verifica ispettiva" non viene utilizzato

19 Audit, verifica ispettiva 2. TERMINI E DEFINIZIONI NOTA 1 NOTA 2 NOTA 3 NOTA 4 Gli Audit interni ("Audit di prima parte ), sono effettuati, per il riesame da parte della direzione e per altri fini interni, dall'organizzazione stessa, o per suo conto, e possono costituire la base per una autodichiarazione di conformità da parte dell'organizzazione. Gli Audit esterni comprendono quelli che sono generalmente denominati "Audit di seconda parte" o di "terza parte". Gli audit di seconda parte sono effettuati da chi ha un interesse nell'organizzazione (clienti o altre persone per conto degli stessi). Gli Audit di terza parte sono effettuati da organismi di Audit esterni indipendenti. Quando i sistemi di gestione per la qualità e di gestione ambientale vengono sottoposti contemporaneamente all'audit, questo viene definito "Audit combinato" Quando due o più organismi di Audit eseguono congiuntamente un Audit su di un'unica organizzazione oggetto dell'audit,l'audit viene definito "Audit congiunto"

20 2. TERMINI E DEFINIZIONI 2.2 Criteri di Audit Insieme di politiche, procedure o requisiti. > I criteri di audit sono utilizzati come riferimento rispetto a cui si confrontano le evidenze dell'audit (2.3) 2.3 Evidenze dell'audit (audit evidence) Registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri di audit (2.2) e verificabili. > Le evidenze dell'audit possono essere qualitative o quantitative

21 2. TERMINI E DEFINIZIONI 2.4 Risultanze dell'audit (audit findings) Risultati della valutazione delle evidenze dell'audit (2.3) raccolte rispetto ai criteri di audit (2.2). > Le risultanze dell'audit possono indicare conformità o non conformità rispetto ai criteri di audit, o segnalare opportunità di miglioramento. 2.5 Conclusioni dell'audit (audit conclusion) Esito di un audit (2.1) fornito dal gruppo di audit (2.9) dopo aver preso in esame gli obiettivi dell'audit e tutte le risultanze dell'audit (2.4)

22 2.6 Committente dell'audit (audit client) Organizzazione o persona che richiede un audit (2.1). > II committente può essere l'organizzazione oggetto dell'audit (2.7) o qualsiasi altra organizzazione che abbia un diritto regolamentare o contrattuale di richiedere un audit. 2.7 Organizzazione oggetto dell'audit (auditee) Organizzazione sottoposta all'audit. 2. TERMINI E DEFINIZIONI 22 22

23 2.8 Auditor (auditor), valutatore Persona che ha la competenza (2.14) per effettuare un audit (2.1). 2.9 Gruppo di audit (audit team) 2. TERMINI E DEFINIZIONI Uno o più auditor (2.8) che eseguono un audit (2.1), supportati, se richiesto, da esperti tecnici (2.10). > Un auditor del gruppo di audit è nominato responsabile del gruppo. > II gruppo di audit può comprendere auditor in addestramento

24 2. TERMINI E DEFINIZIONI 2.10 Esperto tecnico (technical expert) Persona che fornisce conoscenze o competenze specifiche al gruppo di audit (2.9). > La conoscenza o competenza specifica sono riferite all'organizzazione, al processo, o all'attività da sottoporre ad audit, alla lingua o alla cultura > Un esperto tecnico non può agire come auditor (2.8) nel gruppo di audit

25 2. TERMINI E DEFINIZIONI 2.11 Programma di Audit (Audit programme) Insieme di uno o più Audit (2.1) pianificati per un arco di tempo definito ed orientali verso uno scopo specifico. > Un programma di Audit comprende tutte le attività necessarie per pianificare, organizzare ed eseguire gli Audit

26 2.12 Piano dell'audit (audit plan) Descrizione delle attività e delle disposizioni per la conduzione di un Audit (2.1) Campo dell'audit (Audit scope) Estensione e limiti di un Audit (2.1). > II campo dell'audit generalmente comprende una descrizione delle localizzazioni fisiche, unità organizzative, attività e processi, come pure il periodo di tempo richiesto Competenza (competence) 2. TERMINI E DEFINIZIONI Dimostrate caratteristiche personali e dimostrata capacità di saper utilizzare conoscenze ed abilità

27 3. PRINCIPI DELL ATTIVITA DI AUDIT Fanno dell'audit uno strumento efficiente ed affidabile a supporto delle politiche e dei controlli della direzione, fornendo informazioni in base alle quali un'organizzazione può agire per migliorare le proprie prestazioni. L'adesione a questi principi è un prerequisito per fornire conclusioni dell'audit pertinenti e sufficienti e per assicurare che Auditor diversi, operando indipendentemente l'uno dall'altro, pervengano a conclusioni simili in circostanze simili

28 3. PRINCIPI DELL ATTIVITA DI AUDIT I seguenti principi si riferiscono agli Auditor: a) Comportamento etico: fondamento della professionalità (fiducia, integrità, riservatezza e discrezione sono essenziali). b) Presentazione imparziale: obbligo di riportare fedelmente e con precisione (le risultanze, le conclusioni ed i rapporti di audit riflettono le attività dell'audit, vengono riportati ostacoli significativi incontrati durante l'audit ed opinioni divergenti non risolte tra il gruppo di Audit e l'organizzazione)

29 3. PRINCIPI DELL ATTIVITA DI AUDIT c) Adeguata professionalità: l'applicazione di accuratezza e discernimento nell'attività di Audit (gli Auditor pongono un'attenzione di livello adeguato all'importanza del compito che essi svolgono e alla fiducia riposta in loro dai committenti dell'audit e dalle altre parti interessate. d) Indipendenza: base per l'imparzialità dell'audit e l'obiettività delle conclusioni dell'audit (gli Auditor sono indipendenti dall'attività oggetto dell'audit e sono liberi da pregiudizi e conflitto d'interesse: le risultanze e le conclusioni dell'audit sono basate solo sulle evidenze dell'audit)

30 3. PRINCIPI DELL ATTIVITA DI AUDIT Ulteriori principi fanno riferimento al processo di audit che è per definizione indipendente e sistematico: e) Approccio basato sull'evidenza: metodo razionale per raggiungere conclusioni dell'audit affidabili e riproducibili in un processo di audit sistematico (le evidenze dell'audit sono verificabili e si basano su campioni delle informazioni disponibili: un Audit è effettuato in un periodo di tempo e con risorse limitate)

31 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.1 Generalità A seconda della dimensione, natura e complessità dell'organizzazione da sottoporre ad Audit, il programma di Audit può includere uno o più Audit. Questi Audit possono avere vari obiettivi e possono anche includere Audit congiunti o combinati. Un programma di Audit comprende anche tutte le attività necessarie per pianificare ed organizzare i tipi ed il numero di Audit e fornire le risorse per condurli efficacemente ed efficientemente entro gli intervalli di tempo stabiliti. Un'organizzazione può stabilire più di un programma di Audit

32 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.1 Generalità L'alta direzione dell'organizzazione dovrebbe garantire l'autorità per la gestione del programma di Audit. I responsabili della gestione dell'attività di Audit dovrebbero: a) stabilire, attuare, tenere sotto controllo, riesaminare e migliorare il programma di Audit, b) identificare le risorse necessarie ed assicurare che queste siano fornite

33 Illustrazione del flusso di processo per la gestione di un programma di audit Autorità per il programma di audit (4.1) Agire (Act) Miglioramento del programma di audit (4.6) Definizione del programma di audit (4.2, 4.3) obiettivi ed estensione, responsabilità, risorse, procedure Attuazione del programma di audit (4.4, 4.5) programmazione audit, valutazione auditor, scelta gruppi di audit, indirizzo attività di audit, conservazione delle registrazioni Competenzavalutazione degli auditor (6) Attività di audit (5) Pianificare (Plan) Fare (do) Monitoraggio e riesame del programma di audit (4.6) monitoraggio e riesame, identificazione delle esigenze di azioni correttive e preventive, identificazione delle opportunità di miglioramento Pianificare (Plan) 33 33

34 Se un organizzazione da sottoporre ad audit qualità e ambiente utilizza entrambi i sistemi di gestione, si può decidere che ii programma di audit comprenda audit combinati. In tal caso, speciale attenzione dovrebbe essere rivolta alla competenza del gruppo di audit. Due o più organizzazioni di audit possono cooperare, come parte dei loro programmi di audit, per condurre un audit congiunto. In tal caso, si dovrebbe prestare particolare attenzione alla ripartizione delle responsabilità, alla predisposizione di eventuali risorse aggiuntive, alle competenze necessarie nel gruppo di audit ed alle procedure appropriate. Prima che l'audit abbia inizio si dovrebbe raggiungere l'accordo su tali punti

35 Esempi di programmi di audit o una serie di audit interni relativi ad un sistema di gestione per la qualità dell'organizzazione esteso all'anno in corso; o audit di sistemi di gestione di seconda parte di potenziali fornitori di prodotti critici, da condursi entro 6 mesi; o audit di certificazione e sorveglianza condotti da un organismo di certificazione di terza parte su un sistema di gestione ambientale entro un periodo di tempo concordato contrattualmente tra l'organismo di certificazione ed il committente. Un programma di audit comprende anche una pianificazione appropriata, la fornitura di risorse e la definizione di procedure per condurre gli audit nell'ambito del programma

36 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.2 Obiettivi ed estensione di un programma di audit Obiettivi di un programma di audit Dovrebbero essere stabiliti gli obiettivi di un programma di audit, al fine di dare indicazioni sulla pianificazione e l'esecuzione degli audit. Questi obiettivi possono essere fondati su considerazioni relative a: priorità della direzione, progetti commerciali, requisiti del sistema di gestione, requisiti cogenti e contrattuali, esigenza di valutare il fornitore, requisiti del cliente, esigenze di altre parti interessate, rischi per l'organizzazione

37 Esempi di obiettivi di programma di audit o soddisfare i requisiti per la certificazione rispetto ad una norma di sistema di gestione; o verificare la conformità con requisiti contrattuali; o ottenere e conservare la fiducia sull'idoneità di un fornitore; o contribuire al miglioramento del sistema di gestione 37 37

38 4. GESTIONE DI UN PROGRAMMA DI AUDIT Estensione di un programma di audit L'estensione di un programma di audit può variare e sarà influenzata dalla dimensione, natura e complessità dell'organizzazione da sottoporre ad audit, così come da quanto segue: il campo, l'obiettivo e la durata di ogni audit da eseguire; la frequenza degli audit da eseguire; il numero, l'importanza, la complessità, l'analogia e le localizzazioni delle attività da sottoporre ad audit; le norme, i requisiti cogenti e contrattuali ed altri criteri di audit; l'esigenza di accreditamento o di certificazione; le conclusioni di precedenti audit o i risultati del riesame di un precedente programma di audit; la lingua, gli aspetti culturali e sociali; le problematiche delle parti interessate; le modifiche significative di un'organizzazione o delle sue attività

39 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.3 Responsabilità, risorse e procedure di un programma di audit Responsabilità del programma di audit La responsabilità per la gestione di un programma di audit dovrebbe essere assegnata a una o più persone che abbiano una comprensione generale dei principi dell'audit, della competenza degli auditor e dell'applicazione delle tecniche dell'audit. Queste persone dovrebbero avere capacità di gestione ed inoltre conoscenze tecniche e delle pratiche relative alle attività da sottoporre ad audit

40 4. GESTIONE DI UN PROGRAMMA DI AUDIT Responsabilità del programma di audit I responsabili della gestione del programma di audit dovrebbero: stabilire gli obiettivi e l'estensione del programma di audit, stabilire le responsabilità e le procedure ed assicurare che siano fornite le risorse, assicurare l'attuazione del programma di audit, assicurare che siano conservate appropriate registrazioni del programma di audit, tenere sotto controllo, riesaminare e migliorare il programma di audit

41 4. GESTIONE DI UN PROGRAMMA DI AUDIT Risorse del programma di audit Nell'identificazione delle risorse per il programma di audit, dovrebbero essere presi in considerazione: le risorse economico-fìnanziarie necessarie per l'elaborazione, l'attuazione, la gestione ed il miglioramento delle attività di audit, le tecniche dell'audit, i processi per conseguire e mantenere la competenza degli auditor, e per migliorare la prestazione degli auditor, la disponibilità di auditor e di esperti tecnici aventi competenza appropriata agli obiettivi del particolare programma di audit, l'estensione del programma di audit, il tempo di viaggio, la sistemazione ed altre esigenze dell'attività di audit

42 4. GESTIONE DI UN PROGRAMMA DI AUDIT Procedure del programma di audit Le procedure per il programma di audit dovrebbero comprendere: pianificazione e programmazione degli audit; assicurazione della competenza degli auditor e dei responsabili del gruppo di audit; scelta di appropriati gruppi di audit e assegnazione dei rispettivi ruoli e responsabilità; conduzione degli audit; esecuzione delle azioni a seguire dell'audit, se necessarie; conservazione delle registrazioni del programma di audit; monitoraggio delle prestazioni e dell'efficacia del programma di audit; rapporto all'alta direzione sulle acquisizioni del programma di audit

43 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.4 Attuazione di un programma di audit comunicazione del programma di audit alle parti interessate, coordinamento e programmazione degli audit e delle altre attività del programma di audit, attuazione e mantenimento di un processo per la valutazione iniziale degli auditor e per il loro aggiornamento professionale continuo (6.6, 6.5), garanzia che vengano selezionati gruppi di audit, fornitura delle risorse richieste per i gruppi di audit, garanzia che gli audit vengano eseguiti secondo il programma, garanzia che vengano tenute sotto controllo le registrazioni delle attività di audit, garanzia del riesame ed approvazione dei rapporti di audit e garanzia della loro distribuzione al committente ed alle altre parti specificate, garanzia che vengano effettuate, se applicabile, le azioni a seguire dell'audit

44 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.5 Registrazioni del programma di audit Dovrebbero essere conservate registrazioni per dimostrare l'attuazione del programma di audit e tali registrazioni dovrebbero comprendere quanto segue: le registrazioni relative ai singoli audit (piani dell'audit, rapporti di audit, rapporti di non conformità, rapporti di azioni correttive e preventive, rapporti di azioni a seguire dell'audit, se applicabile; i risultati del riesame del programma di audit; le registrazioni relative al personale coinvolto nell'audit, riguardanti argomenti quali: valutazione della competenza e delle prestazioni dell'auditor, scelta del gruppo di audit, mantenimento e miglioramento della competenza

45 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.6 Monitoraggio e riesame del programma di audit L'attuazione del programma di audit dovrebbe essere monitorata e riesaminata ad intervalli appropriati per valutare se i suoi obiettivi siano stati raggiunti e per identificare opportunità di miglioramento. I risultati dovrebbero essere riportati all'alta direzione. Si dovrebbero utilizzare indicatori di prestazioni per monitorare caratteristiche quali la capacità dei gruppi di audit di attuare il piano dell'audit, la conformità con i programmi e con la tempistica dell'audit, le informazioni di ritorno dai committenti degli audit, dalle organizzazioni oggetto degli audit e dagli auditor

46 4. GESTIONE DI UN PROGRAMMA DI AUDIT 4.6 Monitoraggio e riesame del programma di audit Il riesame del programma di audit dovrebbe considerare, per esempio, i risultati e le tendenze dei monitoraggi, la conformità con le procedure, l'evoluzione delle esigenze e delle aspettative delle parti interessate, le registrazioni del programma di audit, le prassi alternative o nuove relative alle attività di audit, la coerenza nelle prestazioni tra gruppi di audit in situazioni simili. I risultati dei riesami del programma di audit possono condurre ad azioni correttive e preventive ed al miglioramento del programma di audit

47 5. ATTIVITA DI AUDIT 5.1 Generalità Questo punto contiene una guida per pianificare e condurre attività di audit come parte di un programma di audit

48 Visione d'insieme delle attività tipiche dell'audit. Avvio dell'audit (5.2) nomina del responsabile del gruppo di audit, definizione degli obiettivi, del campo e dei criteri dell'audit, determinazione della fattibilità dell'audit, costituzione del gruppo di audit, determinazione del contatto iniziale con l'organizzazione oggetto dell'audit Esecuzione del riesame della documentazione (5.3) riesame dei documenti pertinenti del sistema di gestione, incluse le registrazioni, e determinazione della loro adeguatezza con riferimento ai criteri dell'audit 48 48

49 Visione d'insieme delle attività tipiche dell'audit Preparazione delle attività di audit sul posto (5.4) preparazione del piano dell'audit, assegnazione dei compiti al gruppo di audit, preparazione del documento di lavoro Effettuazione delle attività di audit sul posto (5.5) conduzione della riunione di apertura, comunicazione durante l'audit, ruoli e responsabilità di guide ed osservatori, raccolta e verifica delle informazioni, identificazione delle risultanze dell'audit, preparazione delle conclusioni dell'audit, conduzione della riunione di chiusura 49 49

50 Visione d'insieme delle attività tipiche dell'audit Preparazione, approvazione e distribuzione del rapporto di audit (5.6) Completamento dell'audit (5.7) Esecuzione delle azioni a seguire dell'audit (5.8) 50 50

51 5. ATTIVITA DI AUDIT 5.2 Avvio dell'audit Nomina del responsabile del gruppo di audit I responsabili della gestione del programma di audit dovrebbero nominare il responsabile del gruppo di audit per lo specifico audit. Ove si conduca un audit congiunto, è importante raggiungere l'accordo tra gli organismi di audit prima dell'inizio dell'audit sulle responsabilità specifiche di ogni organismo, particolarmente con riferimento all'autorità del leader del gruppo nominato per l'audit

52 5. ATTIVITA DI AUDIT Definizione degli obiettivi, del campo e dei criteri di audit Gli obiettivi dell'audit definiscono ciò che deve essere portato a termine dall'audit e possono comprendere quanto segue: a) determinazione dell'estensione della conformità del sistema di gestione dell'organizzazione oggetto dell'audit rispetto ai criteri di audit; b) valutazione della capacità del sistema di gestione di assicurare la conformità con i requisiti cogenti e contrattuali; c) valutazione dell'efficacia del sistema di gestione nel conseguire obiettivi specificati; d) identificazione di aree di potenziale miglioramento del sistema di gestione

53 5. ATTIVITA DI AUDIT Definizione degli obiettivi, del campo e dei criteri di audit Il campo dell'audit descrive l'estensione ed i limiti dell'audit quali localizzazioni fisiche, unità organizzative, attività e processi da sottoporre ad audit, ed il periodo di tempo interessato dall'audit. I criteri di audit sono utilizzati come riferimento rispetto a cui si determina la conformità e possono comprendere le politiche, le procedure, le norme, le leggi ed i regolamenti, i requisiti del sistema di gestione, i requisiti contrattuali o i codici di buona pratica del settore industriale/commerciale. Gli obiettivi dell'audit dovrebbero essere definiti dal committente dell'audit. Il campo dell'audit ed i criteri di audit dovrebbero essere definiti tra il committente dell'audit ed il responsabile del gruppo di audit secondo le procedure del programma di audit

54 5. ATTIVITA DI AUDIT Definizione degli obiettivi, del campo e dei criteri di audit Eventuali modifiche degli obiettivi, del campo o dei criteri dell'audit dovrebbero essere concordate dalle medesime parti. Ove si debba condurre un audit combinato, è importante che il responsabile del gruppo di audit assicuri che gli obiettivi, il campo ed i criteri di audit siano appropriati alla natura dell'audit combinato

55 5. ATTIVITA DI AUDIT Determinazione della fattibilità dell'audit La fattibilità dell'audit dovrebbe essere determinata prendendo in esame fattori quali la disponibilità di informazioni sufficienti ed appropriate per pianificare l'audit, adeguata collaborazione da parte dell'organizzazione oggetto dell'audit, tempo e risorse adeguati. Qualora l'audit non sia fattibile, dovrebbe essere proposta al committente dell'audit un'alternativa, a seguito di consultazione con l'organizzazione oggetto dell'audit

56 5. ATTIVITA DI AUDIT Costituzione del gruppo di audit Qualora l'audit sia stato dichiarato fattibile, dovrebbe essere costituito un gruppo di audit prendendo in considerazione la competenza necessaria per conseguire gli obiettivi dell'audit. Quando vi sia un solo auditor, questi dovrebbe svolgere tutti i compiti applicabili di un responsabile di gruppo di audit. Il punto 6 contiene una guida per la determinazione della competenza necessaria e descrive i processi per la valutazione degli auditor

57 5. ATTIVITA DI AUDIT Costituzione del gruppo di audit Quando si decidono la dimensione e la composizione del gruppo di audit, si dovrebbe considerare quanto segue: a. gli obiettivi, il campo, i criteri e la durata prevista dell'audit; b. se si tratta di un audit combinato o congiunto; c. la competenza complessiva del gruppo necessaria per conseguire gli obiettivi; d. i requisiti cogenti, contrattuali e di accreditamento/certificazione, se applicabili; e. la necessità di assicurare l'indipendenza del gruppo dalle attività da sottoporre ad audit e di evitare conflitto di interesse; f. la capacità dei membri del gruppo di audit di interagire in modo efficace con l'organizzazione oggetto dell'audit e di lavorare insieme; g. la lingua dell'audit e la comprensione delle particolari caratteristiche sociali e culturali dell'organizzazione oggetto dell'audit

58 5. ATTIVITA DI AUDIT Costituzione del gruppo di audit Il processo per assicurare la competenza complessiva del gruppo di audit dovrebbe comprendere le seguenti fasi: l'identificazione delle conoscenze e delle abilità necessario per conseguire gli obiettivi dell'audit, la scelta dei membri del gruppo di audit tale che la totalità delle conoscenze e delle abilità siano presenti nel gruppo di audit. Se non pienamente coperte dagli auditor nel gruppo di audit, le conoscenze e le abilità necessarie possono essere ottenute includendo nel gruppo esperti tecnici. Gli esperti tecnici dovrebbero operare sotto la direziono di un auditor. Auditor in addestramento possono essere inclusi nel gruppo di audit, ma non dovrebbero operare senza una direzione o una guida

59 5. ATTIVITA DI AUDIT Costituzione del gruppo di audit Sia il committente dell'audit sia l'organizzazione oggetto dell'audit possono richiedere la sostituzione di particolari membri del gruppo di audit con motivazioni ragionevoli basate sui principi dell'attività di audit descritti. Esempi di motivazioni ragionevoli comprendono situazioni di conflitto di interesse (come nel caso di un membro del gruppo di audit che sia stato in precedenza dipendente dell'organizzazione oggetto dell'audit o gli abbia fornito servizi di consulenza) e comportamento precedente non etico. Tali ragioni dovrebbero essere comunicate al responsabile del gruppo di audit ed ai responsabili della gestione del programma che dovrebbero risolvere il problema con il committente dell'audit e con l'organizzazione oggetto dell'audit prima di assumere decisioni sulla sostituzione di mèmbri del gruppo di audit

60 5. ATTIVITA DI AUDIT Presa di contatto iniziale con l'organizzazione oggetto dell'audit II contatto iniziale per l'audit con l'organizzazione può essere formale o informale, ma dovrebbe essere stabilito dai responsabili della gestione del programma di audit o dal responsabile del gruppo di audit. Lo scopo del contatto iniziale consiste in: a. stabilire canali di comunicazione con il rappresentante dell'organizzazione, b. confermare l'autorità per la conduzione dell'audit, c. fornire informazioni sulla tempistica e sulla composizione del gruppo di audit, d. richiedere l'accesso ai documenti pertinenti, incluse le registrazioni, e. determinare le regole di sicurezza applicabili sul posto, f. predisporre quanto necessario per l'audit, g. concordare la proposta di osservatori e sulla necessità di guide per il gruppo

61 5. ATTIVITA DI AUDIT 5.3 Conduzione del riesame della documentazione La documentazione dell'organizzazione oggetto dell'audit dovrebbe essere riesaminata prima delle attività di audit sul posto per determinare la conformità del sistema, come documentato, con i criteri di audit. La documentazione può comprendere documenti e registrazioni del sistema di gestione pertinenti, e rapporti di audit precedenti. Il riesame dovrebbe prendere in considerazione la dimensione, la natura e la complessità dell'organizzazione, nonché gli obiettivi ed il campo dell'audit

62 5. ATTIVITA DI AUDIT 5.3 Conduzione del riesame della documentazione In alcune situazioni, questo riesame può essere rinviato fino all'inizio delle attività sul posto, in altre situazioni può essere necessaria una visita preliminare per ottenere una visione complessiva delle informazioni disponibili. Qualora si rilevi che la documentazione risulti inadeguata, il responsabile del gruppo di audit dovrebbe informare il committente dell'audit, i responsabili della gestione del programma di audit e l'organizzazione oggetto dell'audit. Si dovrebbe prendere una decisione se continuare o sospendere l'audit fino a che le perplessità sulla documentazione siano risolte

63 5. ATTIVITA DI AUDIT 5.4 Preparazione delle attività di audit sul posto Preparazione del piano dell'audit II responsabile del gruppo di audit dovrebbe preparare un piano dell'audit per fornire la base per l'accordo sulla conduzione dell'audit, tra il committente dell'audit, il gruppo di audit e l'organizzazione oggetto dell'audit. Il piano dovrebbe facilitare la programmazione ed il coordinamento delle attività di audit. Il livello di dettaglio fornito nel piano dell'audit, dovrebbe riflettere il campo e la complessità dell'audit. I dettagli possono essere differenti, ad esempio, fra audit iniziali e successivi come pure fra audit interni ed esterni

64 5. ATTIVITA DI AUDIT Preparazione del piano dell'audit Il piano dell'audit dovrebbe essere sufficientemente flessibile da permettere modifiche, quali variazioni nel campo dell'audit, che possano diventare necessario man mano che progrediscono le attività di audit sul campo

65 5. ATTIVITA DI AUDIT Preparazione del piano dell'audit Il piano dell'audit dovrebbe comprendere quanto segue: gli obiettivi dell'audit; i criteri di audit ed ogni documento di riferimento; il campo dell'audit, compresa l'identificazione delle unità organizzative e funzionali e dei processi da sottoporre ad audit; le date ed i luoghi ove si devono effettuare le attività di audit sul campo; la stima del tempo e della durata per le attività di audit sul campo, comprese le riunioni con la direzione e le riunioni del gruppo di audit; i ruoli e le responsabilità dei membri del gruppo e degli accompagnatori; l'assegnazione di appropriate risorse per le aree critiche dell'audit

66 5. ATTIVITA DI AUDIT Preparazione del piano dell'audit Il piano dell'audit dovrebbe inoltre comprendere, nel modo appropriato, quanto segue: l'identificazione del rappresentante dell'organizzazione oggetto dell'audit, per ciò che si riferisce all'audit; la lingua utilizzata nelle attività e nei rapporti di audit, se differente dalla lingua dell'auditor e/o dell'organizzazione oggetto dell'audit; le voci del rapporto di audit; le indicazioni per la logistica (spostamenti, sistemazioni sul posto, ecc.); gli aspetti soggetti a vincoli di riservatezza; le eventuali azioni a seguire dell'audit

67 5. ATTIVITA DI AUDIT Preparazione del piano dell'audit Il piano dovrebbe essere riesaminato ed accettato dal committente dell'audit e presentato all'organizzazione oggetto dell'audit prima che inizino le attività di audit sul posto. Eventuali obiezioni da parte dell'organizzazione oggetto dell'audit dovrebbero essere risolte fra il responsabile del gruppo di audit, l'organizzazione oggetto dell'audit e il committente dell'audit. Ogni revisione del piano di audit dovrebbe essere concordata fra le parti interessate prima di continuare l'audit

68 5. ATTIVITA DI AUDIT Assegnazione dei compiti al gruppo di audit II responsabile del gruppo di audit, di concerto con il gruppo stesso, dovrebbe assegnare a ciascun membro del gruppo la responsabilità di sottoporre ad audit specifici processi del sistema di gestione, funzioni, luoghi, aree o attività. Nell'assegnare tali compiti si dovrebbe tener conto delle esigenze di indipendenza e di competenza dell'auditor, di un'utilizzazione efficiente delle risorse come pure dei differenti ruoli e responsabilità degli auditor, degli auditor in addestramento e degli esperti tecnici. Man mano che l'audit progredisce possono essere effettuate delle modifiche alle assegnazioni dei compiti, per assicurare il raggiungimento degli obiettivi dell'audit

69 5. ATTIVITA DI AUDIT Preparazione dei documenti di lavoro I membri del gruppo di audit dovrebbero riesaminare le informazioni pertinenti i loro incarichi di audit e preparare documenti di lavoro come necessario per fini di riferimento e di registrazione delle attività di audit. Tali documenti di lavoro possono comprendere liste di riscontro e piani di campionamento dell'audit, moduli per registrare le informazioni, quali evidenze di supporto, risultanze dell'audit e registrazioni di riunioni. L'utilizzazione di liste di riscontro e di moduli non dovrebbe limitare l'estensione delle attività di audit, che possono cambiare come risultato di informazioni raccolte durante l'audit

70 5. ATTIVITA DI AUDIT Preparazione dei documenti di lavoro I documenti di lavoro, incluse le registrazioni che risultano dalla loro utilizzazione, dovrebbero essere conservati almeno fino al termine dell'audit. La conservazione di documenti dopo la conclusione dell'audit è descritta in 5.7. I documenti che riguardano informazioni riservate o di esclusiva proprietà dovrebbero essere opportunamente salvaguardati in ogni momento dai mèmbri del gruppo di audit

71 5. ATTIVITA DI AUDIT 5.5 Conduzione delle attività di audit sul posto Conduzione della riunione di apertura Dovrebbe essere tenuta una riunione di apertura con la direzione dell'organizzazione oggetto dell'audit o, ove appropriato, con i responsabili delle funzioni o dei processi da sottoporre ad audit. Lo scopo di una riunione di apertura è di: a) confermare il piano dell'audit, b) fornire una breve sintesi di come verranno eseguite le attività di audit, c) confermare i canali di comunicazione, d) offrire all'organizzazione oggetto dell'audit l'opportunità di porre domande

72 RIUNIONE DI APERTURA In molti casi, per esempio negli audit interni in una piccola organizzazione, la riunione di apertura può semplicemente consistere nella comunicazione che sta per essere condotto un audit e nella spiegazione della natura dell'audit. Per altre situazioni di audit, la riunione dovrebbe essere formale e la presenza dei partecipanti dovrebbe essere registrata. La riunione dovrebbe essere presieduta dal responsabile del gruppo di audit, e dovrebbero essere presi in esame i seguenti punti, ove appropriato: a) la presentazione dei partecipanti, compresa una descrizione dei loro ruoli; b) la conferma degli obiettivi, del campo e dei criteri di audit;

73 RIUNIONE DI APERTURA c) la conferma, con l'organizzazione oggetto dell'audit, dei tempi dell'audit e di ogni altra disposizione pertinente (data e tempo della riunione di chiusura, delle riunioni intermedia fra il gruppo di audit e la direzione della organizzazione e di ogni modifica dell'ultima ora; d) i metodi e le procedure da utilizzare per condurre l'audit, inclusa l'informazione all'organizzazione oggetto dell'audit che le evidenze dell'audit saranno basate solo su di un campione delle informazioni disponibili e che pertanto esiste un elemento di incertezza nell'attività di audit; e) la conferma di canali di comunicazione formale fra il gruppo di audit e l'organizzazione oggetto dell'audit; f) la conferma della lingua da utilizzare durante l'audit ; g) la conferma che, durante l'audit, l'organizzazione oggetto dell'audit sarà tenuta informata del progresso dell'audit;

74 RIUNIONE DI APERTURA h) la conferma che siano disponibili le risorse e le strutture necessario al gruppo di audit; i) la conferma degli aspetti da trattare con riservatezza; j) la conferma, per il gruppo di audit, di idonee condizioni di sicurezza sul lavoro, di procedure per l'emergenza e la security; k) la conferma della disponibilità, dei ruoli e dell'identità di eventuali guide; l) il metodo di preparazione dei rapporti, comprese le eventuali classificazioni delle non conformità; m)le informazioni circa le condizioni alle quali l'audit può essere concluso; n) le informazioni riguardanti eventuali modalità di ricorso sulla conduzione o sulle conclusioni dell'audit

75 5. ATTIVITA DI AUDIT 5.5 Conduzione delle attività di audit sul posto Comunicazione durante gli audit A seconda del campo e della complessità dell'audit, può essere necessario adottare, durante l'audit, provvedimenti formali per la comunicazione all'interno del gruppo di audit e con l'organizzazione oggetto dell'audit. Il gruppo di audit dovrebbe consultarsi periodicamente per scambiarsi informazioni, valutare il progresso dell'audit e riassegnare compiti tra gli auditor, se necessario

76 5. ATTIVITA DI AUDIT Comunicazione durante gli audit Durante l'audit, il responsabile del gruppo di audit dovrebbe comunicare periodicamente il progredire dell'audit ed eventuali problemi all'organizzazione oggetto dell'audit ed al committente dell'audit, se opportuno. L'evidenza raccolta nell'audit che indichi un rischio immediato e significativo (per la sicurezza, l'ambiente o la qualità) dovrebbe essere rapportata senza ritardo all'organizzazione oggetto dell'audit e, come opportuno, al committente dell'audit. Eventuali problemi riguardanti un aspetto al di fuori del campo dell'audit dovrebbero essere annotati e rapportati al responsabile del gruppo di audit, per la possibile comunicazione al committente dell'audit ed all'organizzazione oggetto dell'audit

77 5. ATTIVITA DI AUDIT Comunicazione durante gli audit Ove le evidenze dell'audit disponibili indichino che gli obiettivi dell'audit sono irraggiungibili, il responsabile del gruppo di audit dovrebbe rapportare le ragioni al committente dell'audit ed all'organizzazione oggetto dell'audit per determinare azioni appropriate. Tali azioni possono comprendere la riconferma o la modifica del piano dell'audit, modifiche negli obiettivi e/o nel campo dell'audit, o l'interruzione dell'audit. Eventuali esigenze di modifiche nel campo dell'audit che possano evidenziarsi man mano che le attività di audit sul campo progrediscono dovrebbero essere riesaminate col committente dell'audit e, come opportuno, con l'organizzazione oggetto dell'audit e dovrebbero essere approvate da costoro

78 5. ATTIVITA DI AUDIT Ruoli e responsabilità di guide ed osservatori Guide ed osservatori possono accompagnare il gruppo di audit, ma non sono parte di esso e non dovrebbero interferire con l'esecuzione dell'audit: ove da parte dell'organizzazione oggetto dell'audit siano incaricate guide, queste dovrebbero assistere il gruppo di audit ed agire su richiesta del responsabile del gruppo di audit. Le loro responsabilità possono comprendere quanto segue: stabilire contatti e tempistica per le interviste; organizzare visite a parti specifiche del luogo o dell'organizzazione; assicurare che le regole concernenti la sicurezza sui posto e le procedure di security siano conosciute e rispettate dai membri del gruppo di audit; presenziare all'audit in luogo dell'organizzazione oggetto dell'audit; fornire chiarimenti o assistenza sulla raccolta delle informazioni

79 5. ATTIVITA DI AUDIT Raccolta e verifica delle informazioni Le informazioni relative agli obiettivi, al campo ed ai criteri di audit, comprese le informazioni relative alle interfacce fra le funzioni, le attività ed i processi, dovrebbero essere raccolte mediante opportuno campionamento durante l'audit e dovrebbero essere verificate. Solo le informazioni verificabili possono costituire evidenze dell'audit. Le evidenze dell'audit dovrebbero essere registrate. Le evidenze dell'audit sono basate su campioni delle informazioni disponibili. Esiste quindi un elemento di incertezza nell'attività di audit, per cui coloro che traggono le conclusioni dell'audit dovrebbero essere consapevoli di questa incertezza

80 Visione d'insieme del processo dalla raccolta delle informazioni fino al raggiungimento delle conclusioni dell'audit Fonti di informazioni Raccolta mediante appropriato campionamento e verifica Evidenze dell audit Valutazione rispetto ai criteri di audit Risultanze dell audit Riesame Conclusioni dell audit I metodi per raccogliere informazioni comprendono: interviste, osservazioni di attività, riesame dei documenti

81 Fonti di informazioni Le fonti di informazioni scelte possono variare con il campo e la complessità dell'audit e possono comprendere quanto segue: interviste con impiegati e con altre persone; osservazioni di attività, delle condizioni e dell'ambiente di lavoro circostante; documenti (politica, obiettivi, piani, procedure, norme, istruzioni, licenze e permessi, specifiche, disegni, contratti ed ordini); registrazioni (registrazioni di ispezioni, resoconti di riunioni, rapporti di audit, registrazioni di programmi di monitoraggio e risultati di misurazioni; riassunti di dati, analisi ed indicatori di prestazioni; informazioni sui programmi di campionamento pertinenti e sulle procedure per il controllo del campionamento e dei processi di misurazione; rapporti da altre fonti (informazioni dal cliente, valutazioni di fornitori ); banche dati di computer e siti web

82 Conduzione di interviste Le interviste sono uno dei mezzi importanti di raccolta di informazioni e dovrebbero essere eseguite in maniera che si adatti alla situazione ed alla persona intervistata. Tuttavia, l'auditor dovrebbe considerare quanto segue: le interviste dovrebbero essere rivolte a persone di opportuni livelli e funzioni che eseguono attività o compiti nell'ambito del campo dell'audit; l'intervista dovrebbe essere condotta durante l'orario normale di lavoro e, ove possibile, sul luogo di lavoro abituale della persona che viene intervistata; dovrebbe essere fatto ogni sforzo per mettere la persona che viene intervistata a proprio agio prima e durante l'intervista;

83 Conduzione di interviste dovrebbero essere spiegate le ragioni dell'intervista e di ogni annotazione presa; le interviste possono essere iniziate con la richiesta alle persone di descrivere il loro lavoro; le domande che possono influenzare le risposte (cioè le domande influenzanti) dovrebbero essere evitate; i risultati dell'intervista dovrebbero essere sintetizzati e riesaminati con la persona intervistata; le persone intervistate dovrebbero essere ringraziate per la loro partecipazione e cooperazione

84 5. ATTIVITA DI AUDIT 5.5 Conduzione delle attività di audit sul posto Elaborazione delle risultanze dell'audit Le evidenze dell'audit dovrebbero essere valutate a fronte dei relativi criteri per dar luogo alle risultanze dell'audit. Le risultanze dell'audit possono indicare sia conformità, sia non conformità a fronte dei criteri di audit. Quando specificato dagli obiettivi dell'audit, le risultanze dell'audit possono individuare un'opportunità di miglioramento. Il gruppo di audit dovrebbe riunirsi quando necessario per riesaminare le risultanze dell'audit in fasi appropriate nel corso dell'audit

85 5. ATTIVITA DI AUDIT Elaborazione delle risultanze dell'audit La conformità con i criteri di audit dovrebbe essere riassunta per indicare posizioni, funzioni o processi, che sono stati sottoposti ad audit. Se incluso nel piano dell'audit, dovrebbero essere registrate anche le singole risultanze dell'audit di conformità e la loro evidenza di supporto. Le non conformità e le relative evidenze dell'audit di supporto dovrebbero essere registrate. Le non conformità possono essere graduate. Esse dovrebbero essere riesaminate con l'organizzazione oggetto dell'audit per ottenere consapevolezza che le evidenze dell'audit siano accurate e che le non conformità siano capite. Dovrebbe essere fatto ogni tentativo per risolvere eventuali divergenze di opinione relative alle evidenze e/o alle risultanze dell'audit e i punti non risolti dovrebbero essere registrati

86 5. ATTIVITA DI AUDIT Preparazione delle conclusioni dell'audit II gruppo di audit dovrebbe consultarsi prima dell'incontro di chiusura per: a) riesaminare le risultanze dell'audit ed altre eventuali appropriate informazioni raccolte durante l'audit a fronte degli obiettivi dell'audit b) concordare le conclusioni dell'audit, tenendo conto dell'incertezza inerente il processo di audit, c) preparare raccomandazioni, se richiesto dagli obiettivi dell'audit, d) discutere sulle azioni a seguire, se incluse nel piano di audit

87 CONCLUSIONI DELL'AUDIT Le conclusioni dell'audit possono riguardare elementi quali: l'estensione della conformità del sistema di gestione rispetto ai criteri di audit, l'efficace attuazione, mantenimento e miglioramento del sistema di gestione, la capacità del processo di riesame da parte della direzione per assicurare l'idoneità, l'adeguatezza, l'efficacia e il miglioramento continui del sistema di gestione. Se specificato dagli obiettivi dell'audit, le conclusioni dell'audit possono portare a raccomandazioni relative a miglioramenti, rapporti di affari, certificazione o future attività di audit

88 5. ATTIVITA DI AUDIT Conduzione della riunione di chiusura Si dovrebbe tenere una riunione di chiusura, presieduta dal responsabile del gruppo di audit, per presentare le risultanze e le conclusioni dell'audit in maniera tale che queste siano capite e conosciute da parte dell'organizzazione oggetto dell'audit e per concordare, se appropriato, il periodo di tempo da concedere all'organizzazione stessa per presentare un piano di azioni correttive e preventive. Tra i partecipanti alla riunione di chiusura dovrebbero essere compresi l'organizzazione oggetto dell'audit ed anche il committente dell'audit ed altre parti. Se necessario, il responsabile del gruppo di audit dovrebbe avvertire l'organizzazione oggetto dell'audit di situazioni incontrate durante l'audit che possono far diminuire la fiducia che può essere riposta sulle conclusioni dell'audit