Gestione Audit di Certificazione da remoto Computer Assisted Auditing Techniques (CAAT) CASO DI STUDIO N Q119 Rev. 1 Dicembre 2013
Riferimenti Il presente caso di studio fa riferimento ai seguenti documenti: Linea Guida ISO-IAF sui sistemi basati sull'elettronica (recepita da ACCREDIA) ISO 19011:2012 Linea guida per audit di sistemi di gestione Link alla versione inglese: IAF MD 4:2008 Use of Computer Assisted Auditing Techniques ("CAAT") for Accredited Certification of Management Systems
Sommario 1. Premessa 2. Definizione utente «Auditor» ed assegnazione dei permessi (previlegi e ruoli) 3. Accesso al sistema da parte dell auditor 4. Riesame della documentazione 5. Audit sui controlli della documentazione elettronica (ruoli su documenti) 6. Audit sui controlli delle registrazioni dei processi 7. Benefici percepiti
Premessa
Premessa La Linea Guida ISO-IAF citata nei riferimenti iniziali è un documento obbligatorio (MD = Mandatory Document) che è stato recepito dalla ISO 19011:2012 la quale prevede in particolare nell appendice B una GUIDA SUPPLEMENTARE DESTINATA AGLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DI AUDIT
Premessa: Appendice B - ISO 19011:2012
Premessa L organizzazione che effettua un audit, sia essa un OdC di parte terza, un Organismo di Accreditamento o una funzione organizzativa interna, è responsabile di assicurare l efficacia del processo di audit basato su Sistema di Gestione Molto informatizzato. Gli auditor e le organizzazioni di audit, nel seguire i passi del processo di audit riportati nella ISO 19011, dovrebbero apportare i necessari aggiustamenti per assicurare un approccio adeguato.
Premessa Gli auditor, seguendo le istruzioni, possono condurre in modo autonomo la verifica sui documenti e registrazioni in funzione dei previlegi e ruoli assegnati dall amministratore del sistema. In alternativa attuano l audit, da remoto, in collegamento e sotto la supervisione di un utente interno (ad es. il Responsabile del Sistema di Gestione) con adeguati privilegi e ruoli di accesso ai documenti, anagrafiche e processi.
Definizione utente «Auditor» ed assegnazione dei permessi (previlegi e ruoli)
Definizione utente «Auditor» ed assegnazione Permessi L amministratore del sistema (di norma RSG) provvede, in «Application manager», a definire: l utente «Auditor» di tipo «Normale» che potrà poi accedere al database Qualibus dell Organizzazione Privilegi per i singoli moduli Successivamente provvede a definire i ruoli in: Opzioni eventi Documenti
Utente
Privilegi
Ruoli in documenti
Ruoli in eventi
Accesso al sistema da parte dell auditor (esempio connessione al server attraverso internet SSL = Secure Socket Layer)
Accesso ed uso di Qualibus da parte dell auditor L auditor: Accede al database dell organizzazione oggetto dell audit, con Server, User e Password assegnata Nota: User e Password, assegnate dall amministratore, sono stringhe alfanumeriche e senza spazi.
Accesso ed uso di Qualibus da parte dell auditor Effettuato il login accede al calendar e visualizza le note riportate e/o le linee guida indicate
Accesso ed uso di Qualibus da parte dell auditor L auditor può visualizzare il menù di Qualibus cliccando sull icona per accedere ai vari moduli
Riesame della documentazione
L auditor visualizza tutti i file contenuti nelle cartelle dove gli è stato assegnato il ruolo di «Lettura» Riesame della documentazione
In funzione delle opzioni di configurazione i documenti, nell ultima revisione approvata, possono essere disponibili in lettura in formato.pdf Riesame della documentazione
Audit sui controlli della documentazione elettronica (ruoli su documenti)
Audit sui controlli della documentazione elettronica L auditor può effettuare una verifica sulla gestione documentale relativamente ai seguenti aspetti: cartelle di sistema dove archiviare i file della documentazione di origine interna (manuale, procedure, istruzioni, stampati, modelli, ecc.)
Audit sui controlli della documentazione elettronica Ruoli: Menu contestuale (lettura, inserimento, modifica, ecc.) fino a divenire Amministratore della cartella. Nota: L utente Admin dei documenti ha la possibilità di propagare i ruoli nelle sub directory
Audit sui controlli della documentazione elettronica Gestione revisioni Verificare le revisioni dei documenti da parte degli utenti con il ruolo appropriato sulla cartella
Audit sui controlli della documentazione elettronica distribuzione Verificare l effettuazione della distribuzione della documentazione da parte degli utenti con il ruolo di distribuzione nella directory Nota: agli utenti di Qualibus destinatari della distribuzione arriva un messaggio di notifica con il collegamento al documento ed il file revisionato allegato che sarà possibile aprire direttamente dalla maschera del messaggio
Audit sui controlli della documentazione elettronica Gestione distribuzione controllata Controllare con il supporto del RSG tramite il pulsante «Documenti distribuiti» se i destinatari hanno o meno aperto il file del documento revisionato (campo «Data ultimo accesso»)
Audit sui controlli della documentazione elettronica Gestione documentazione di origine esterna Verificare l archiviazione di leggi, norme e regolamenti, documenti di clienti e fornitori. Nota: è possibile visualizzare anche i decreti non più in vigore e resi obsoleti
Audit sui controlli delle registrazioni dei processi
Audit sui controlli delle registrazioni dei processi Con il modulo «Eventi» e «Progetti» di Qualibus possono essere gestiti processi primari come ad esempio: - Trattative commerciali - Progetto e/o Commesse L auditor può verificare ad esempio (in questo caso interagendo con il cliente): - l'efficacia delle fasi dei processi (scostamenti dei tempi di attraversamento nelle varie fasi) - l'efficienza (scostamento del consumo di risorse, nelle varie fasi) - le relative Azioni correttive in caso di Non Conformità dovute a scostamenti maggiori di quelli pianificati
Audit sui controlli delle registrazioni dei processi Con il modulo Eventi, Infrastrutture e Strumenti vengono gestiti tutti i processi di supporto, ad esempio: - Addestramenti, suggerimenti, infortuni del personale - Audit interni, di certificazione e di parte seconda - Manutenzioni programmate e straordinarie - Non Conformità e Reclami - Azioni di miglioramento (AC/AP) - Riesami di Direzione - Valutazione fornitori - Customer satisfaction L auditor può accedere a queste informazioni con Qualibus anche senza interazioni con il cliente. Nelle slide seguenti vengono illustrati alcuni esempi di registrazioni.
Audit sui controlli delle registrazioni dei processi Addestramento del Personale Con il modulo Eventi vengono programmati e registrati tutti i corsi di addestramento, formazione ed informazione che riguardano il personale, definendo: - Docenti e sede del corso - Contenuti e date delle lezioni - Modalità di verifica dell efficacia - Partecipanti
Audit sui controlli delle registrazioni dei processi Reclami e Non Conformità Nel modulo «Eventi» vengono gestite e mantenute le registrazioni di Reclami e NC con: - Descrizione dell evento - Link a cliente che reclama, fornitore, ecc. - Dati personalizzati - Disposizioni risolutive - Archiviazione documentazione inviata e ricevuta
Audit sui controlli delle registrazioni dei processi Azioni di miglioramento (Correttive e Preventive) Le AC e AP vengono avviate (anche automaticamente) e tenute sotto controllo tramite «Eventi», con: - Definizione dell azione - Dati personalizzati - Disposizioni attuative - Archiviazione comunicazioni e link a documenti collegati
Audit sui controlli delle registrazioni dei processi Audit Gli audit vengono programmati, effettuati e registrati nel modulo «Eventi». In base all esito del rilievo vengono avviate in automatico le azioni conseguenti (AC a seguito di NC e AP a seguito di Osservazione)
Audit sui controlli delle registrazioni dei processi Consultazioni e Filtri Tutti i moduli grazie alle «Consultazioni» permettono l elencazione tramite filtri pre impostati di tutti gli eventi in oggetto con la visualizzazione di dati personalizzati e riferimenti
Audit sui controlli delle registrazioni dei processi Analisi dei dati - Cruscotti Grazie alla registrazione di tutte le attività dei processi Qualibus genera automaticamente una serie di statistiche visibili nel modulo «Cruscotti», ad esempio num. degli eventi (Non Conformità, Azioni di miglioramento, Reclami, addestramenti, ecc.)
Benefici percepiti
BENEFICI PERCEPITI Riduzione dei costi dell audit Formazione immediata dei valutatori per la gestione dell audit da remoto Accesso in remoto da parte dell auditor in autonomia al database del cliente per verifica della documentazione, dei processi e del sistema Sicurezza (security) nella gestione degli accessi alla pertinente documentazione / registrazioni dell organizzazione Verifiche semplici tramite consultazioni e cruscotti dei processi effettuati, programmati e in attuazione
Grazie per l attenzione! Nord Est Systems è pronta a offrirvi la soluzione che cercate! Trasmettete le vostre esigenze a: soluzioni@nordestsystems.com