Stato dell Arte e Prospettive. La Norma ISO/IEC :2015. Convegno di studio e approfondimento. Relatore: Riccardo Bianconi esperto AiFOS

Transcript

1 Convegno di studio e approfondimento Stato dell Arte e Prospettive La Norma ISO/IEC :2015 Relatore: Riccardo Bianconi esperto AiFOS Milano, 4 novembre 2015 dalle alle 17.30

2 Perché essere interessati ad una Norma specifica e specialistica come la ISO/IEC :2015? Beh, se si è Organismi di Certificazione, oppure se si è Enti di Accreditamento, ma anche

3 Perché essere interessati ad una Norma specifica e specialistica come la ISO/IEC :2015? Beh, se si è Organismi di Certificazione, oppure se si è Enti di Accreditamento, ma anche SE SI VIVE NEL NOSTRO MERCATO OVE L ACCREDITAMENTO È DIVENTATO, PER VOLONTÀ POLITICA E SU BASE GIURIDICA UNO STRUMENTO FONDAMENTALE DI CONTROLLO DEL MERCATO: SI PENSI ALLA SALUTE ALIMENTARE, ALLA SICUREZZA NELLE DIVERSE DECLINAZIONI: LAVORO, AMBIENTE, PRODOTTO PUÒ BASTARE?

4 Perché ? E non più semplicemente? Già dal 2012 è in corso la pubblicazione di una serie di addendum alla Norma, specifiche per esigenze particolari di competenza: : per lo schema SGA : per lo schema SGQ : per lo schema sostenibilità eventi SMRAAE (ISO 20121) SM Responsable Appliqué à Activitée Événementielle : per la gestione degli asset (ISO 55001) : per la gestione della continuità operativa (ISO/IEC 22301) : per la gestione della sicurezza stradale (ISO 39001)

5 Perché ? E non più semplicemente? Già dal 2012 è in corso la pubblicazione di una serie di addendum alla Norma, specifiche per esigenze particolari di competenza: : per lo schema SGA : per lo schema SGQ : per lo schema sostenibilità eventi SMRAAE (ISO 20121) : per la gestione degli asset (ISO 55001) : per la gestione della continuità operativa (ISO/IEC 22301) : per la gestione della sicurezza stradale (ISO 39001)

6 La Norma ISO/IEC è l evoluzione naturale della stessa Norma del Tale versione ha recepito numerose istanze di modifica, di chiarimento e semplificazione, derivanti dal mondo della certificazione. Dalla data di pubblicazione della Norma in versione 2015 è iniziato un transitorio biennale, che già dal 15 Luglio 2016 vedrà come unico riferimento normativo per l accreditamento proprio la ISO/ IEC :2015.

7 La nuova revisione mette in evidenza il concetto di imparzialità e di assenza di conflitti di interessi, in linea con la precedente versione. Da un lato si cerca di chiarire meglio cosa si debba intendere per consulenza, argomento già trattato con diversi interventi, fatti in ordine sparso negli anni precedenti. Per esempio si deve considerare consulenza: Produrre documentazione di sistema per un organizzazione (manuali, procedure, analisi dei processi, valutazione dei rischi e ogni altro documento operativo). Fornire specifici consigli, istruzioni o soluzioni per lo sviluppo e attuazione del sistema di gestione.

8 La formazione è da considerare consulenza? Lascio a voi valutare, partendo dalle seguenti indicazioni

9 La formazione è da considerare consulenza? Organizzare corsi, fornire docenze non è da considerare consulenza, sempre che ove tali corsi si riferiscano ai sistema di gestione o alle attività di audit ci si limiti a fornire informazioni di carattere generale, senza fornire consigli o soluzioni specifiche. Il training non è da considerare consulenza, ma va considerata come una minaccia all imparzialità

10 Fornire informazioni generali, ma non soluzioni specifiche per il cliente per il miglioramento dei processi o dei sistemi, non è considerata come consulenza. Tali informazioni possono comprendere: spiegare il significato e le finalità di criteri di certificazione; identificare opportunità di miglioramento; spiegare teorie, metodologie, tecniche e strumenti correlati; condividere informazioni non riservate sulle relative migliori prassi; altri aspetti gestionali che non sono coperti dal sistema di gestione sottoposto ad audit.

11 Nel caso di conflitti di interessi riconosciuti, come aver eseguito degli audit interni per un organizzazione o aver prestato servizi di consulenza, quello che era un suggerimento nella versione del 2011 della Norma, diviene requisito: per almeno due anni non si deve certificare.

12 Ai sei principi enunciati nella 17021:2011: Imparzialità, Competenza, Responsabilità, Trasparenza, Riservatezza, Risposta ai reclami Si unisce un nuovo principio: L approccio basato sui rischi, ma adelante Pedro

13 Per quanto questi rischi siano: gli obiettivi dell audit; il campionamento utilizzato nel processo di audit; l imparzialità reale e percepita; le questioni relative a responsabilita giuridica e di natura cogente; l organizzazione cliente sottoposta ad audit e il suo ambiente operativo; l impatto dell audit sul cliente e le sue attivita ; salute e sicurezza dei gruppi di audit; percezione delle parti interessate; dichiarazioni fuorvianti da parte del cliente certificato; utilizzo di marchi. La logica è di prendere in considerazione i rischi che possono impattare sull imparzialità e la capacità di fornire servizi conformi e basati sulla competenza.

14 Non c è più l obbligo di costituire un Comitato di Salvaguardia per l Imparzialità, ma quello di identificare delle appropriate Parti Interessate da consultare, anche con modalità disgiunte. A mio personale giudizio, basato anche sull esperienza, si perde un opportunità, che il mercato delle certificazioni non ha mai gradito e desiderato di avere! L esistenza di un CSI viene vista come una possibile risposta alla esigenza sopra indicata. Le informazioni e valutazioni delle Parti Interessate dovranno essere riportate nel riesame della direzione Comunque, questo approccio era già emerso con la Norma ISO/ IEC e non è un fulmine a ciel sereno.

15 La Norma specifica che l Organismo di Certificazione deve essere considerato responsabile delle proprie decisioni in merito alle decisioni prese. Una banalità?

16 La Norma specifica che l Organismo di Certificazione deve essere considerato responsabile delle proprie decisioni in merito alle decisioni prese. Una banalità? Non proprio!! L accreditamento è un atto pubblico, così come l atto di certificare, con i possibili risvolti di carattere penale, ove si configurino fattispecie riconducibili ai delitti di falso ideologico e concorso in truffa, con tutte le possibili caratterizzazioni e aggravanti. A questo proposito vi sono delle illuminanti posizioni sia della Corte dei Conti, sia del Consiglio di Stato.

17 Quindi, la valutazione sulla capacità di operare in una specifica area tecnica, di poter assumere delle decisioni in tale area e in uno specifico schema, risultano essere rilevanti dal punto di vista giuridico e non più un aspetto negoziale tra privati. Chi delibera deve essere membro dell organizzazione dell Organismo di Certificazione o vincolato da accordi contrattuali legalmente validi con lo stesso Organismo di Certificazione o con un organizzazione da questo controllata giuridicamente.

18 La Norma ribadisce l esigenza che gli Organismi di Certificazione abbiano dei processi per definire, verificare e monitorare le competenze degli auditor. I requisiti, schema per schema, come abbiamo visto prima, sono già mappati per quasi tutti gli schemi di certificazione. La Norma chiarisce che le cosiddette aree tecniche possono coincidere con i settori IAF, salvo eccezioni individuate da schemi specifici. Ad ogni ruolo deve corrispondere la relativa competenza: cioè la capacità di raggiungere specifici obiettivi con l uso delle conoscenze e delle abilità professionali. ( e All. A della Norma )

19 Il monitoraggio degli Auditor deve avvenire sia sulla base delle registrazioni di audit, sia della valutazione (non più della sola osservazione) diretta delle attività in campo e deve essere commisurato e correlato alla complessità e specificità di ogni schema e delle aree tecniche nelle quali opera un Auditor. La Norma richiede che l Organismo di Certificazione utilizzi tutte le informazioni disponibili per definire la frequenza dei monitoraggi. In definitiva si tratta di un approccio risk based non dichiarato, ma evidente.

20 La Norma fa chiarezza su diverse aree di dubbio per i periodi di validità dei certificati, in fase di emissione (primo ciclo triennale inizia con la data di delibera), i successivi con le date di rinnovo. Il programma di audit triennale deve tenere conto del campo di applicazione, della complessità, della criticità e della tipologia di prodotti e processi, nonché delle risultanze degli audit precedenti. Gli audit di sorveglianza debbono essere condotti almeno una volta ogni anno solare. Il primo audit di sorveglianza non può eccedere i 12 mesi dalla delibera.

21 Per la determinazione del tempo complessivo di audit, l OdC deve considerare, tra le altre cose, i seguenti aspetti: i requisiti della norma di sistema di gestione pertinente; la complessita del cliente e del suo sistema di gestione; il contesto tecnologico e cogente; ogni eventuale affidamento all esterno di attivita comprese nel campo di applicazione del sistema di gestione; i risultati di ogni eventuale audit precedente; la dimensione e il numero dei siti, la loro posizione geografica e le considerazioni circa siti multipli; i rischi associati ai prodotti, processi o attivita dell organizzazione; se gli audit sono combinati, congiunti o integrati. I tempi legati alla logistica non fanno parte del tempo di audit. Quanto dura un giorno di lavoro per un Auditor???

22 Grazie per l attenzione