Da auditato ad auditor: guida alla comprensione del processo di certificazione

Queste riflessioni provengono da Linda Porter, una delle nostre esperte Regional Assessor di NQA. Grazie alla sua vasta esperienza negli audit, Linda conosce in prima persona le sfide e le opportunità che il percorso di certificazione può offrire.

La mia prima esperienza con gli audit risale a quando ero tirocinante contabile: mi recavo presso gli uffici dei clienti per supportare l’auditor nel campionamento delle fatture e nella riconciliazione con i registri o i sistemi finanziari.

Un cambio di carriera mi portò poi a occuparmi di software per la gestione delle imposte societarie e dei bilanci. In quell’occasione ci fu un audit ISO 9001 e venni scelta per illustrare il processo di creazione e gestione dei ticket di supporto. Ricordo di essermi sentita molto nervosa e sotto pressione, sulle mie allora giovani spalle!

Ovviamente l’audit andò bene: l’auditor fu cordiale e la mia parte venne superata brillantemente! Dopo l’audit mi chiesi perché fossi stata così nervosa: dopotutto stavo semplicemente spiegando come svolgevo il mio lavoro. Non era un esame e non c’erano trabocchetti! Nel peggiore dei casi, se fossero emerse non conformità, ciò avrebbe comunque portato a miglioramenti utili per la mia attività.

Capì anche che un audit non viene superato da una sola persona: è necessario che tutta l’organizzazione faccia la sua parte – che si tratti di seguire processi e procedure, monitorarli o proporre opportunità di miglioramento.

Dopo quell’audit mi venne chiesto di occuparmi del sistema di gestione della qualità e seguii la formazione per diventare auditor interno. In seguito diventai Compliance Manager, responsabile per ISO 9001, 27001 e 20000-1. Dopo tre anni decisi di diventare Regional Assessor per NQA e per questo comprendo bene quanto il processo di audit possa sembrare impegnativo e stressante. Per renderlo meno pesante, ecco una panoramica di cosa aspettarsi durante il percorso di certificazione.

Il processo di certificazione

Preparazione

Circa 4-6 settimane prima dell’audit programmato, l’auditor si presenterà e fornirà un piano di audit per la durata della verifica. Il piano include le clausole obbligatorie (4-10) che devono essere sempre auditati e, per ISO 27001, anche alcuni processi e i controlli dell’Annex A.

Questa fase permette di assicurarsi che le persone giuste siano disponibili per l’audit e che gli appuntamenti siano pianificati in agenda, così da organizzare il lavoro senza pressioni o stress nel giorno stesso della verifica. Gli auditor sono consapevoli che gestite un’attività e cerchiamo di venire incontro il più possibile: il piano non è rigido, c’è flessibilità purché tutto venga comunque coperto durante la visita.

Durante la revisione del piano di audit è utile considerare quali evidenze mostrare per ciascuna parte. Ad esempio, per il controllo Annex A 7.14 – Smaltimento sicuro o riutilizzo delle apparecchiature – verificherei che i supporti contenenti dati riservati siano stati cancellati in modo sicuro e distrutti, con evidenze come l’aggiornamento del registro cespiti, l’apertura di un ticket per la cancellazione e un certificato di smaltimento conforme a WEEE e GDPR. Esaminerei inoltre documenti pertinenti come policy, procedure o report di audit interni.

Avere queste informazioni pronte rende l’audit più scorrevole e meno stressante. È un errore comune pensare che gli auditor cerchino problemi o non conformità e che più tempo significhi maggiori possibilità di trovarne. Non è così. Il nostro ruolo è confermare la conformità agli standard, e lo facciamo cercando evidenze. Se il tempo viene sprecato, possono emergere non conformità per mancanza di evidenze oppure l’audit può allungarsi, con la necessità di ulteriori giornate per coprire tutte le clausole obbligatorie.

Il giorno dell’audit

Indipendentemente dal tipo di audit, ogni visita inizia con una riunione di apertura.

In questa fase si fanno le presentazioni formali delle persone coinvolte, si conferma lo standard oggetto dell’audit, lo scopo e le eventuali esclusioni. Si affrontano anche i temi di riservatezza e le regole di salute e sicurezza. Poi viene rivisto il piano di audit, ricordando che si tratta di un audit a campione. Se avete dubbi sul piano, è meglio esporli subito così da poterli discutere e risolvere nel modo più efficace.

Tipi di audit

Audit di Fase Uno

Un audit di fase uno serve a valutare se la tua azienda è pronta per l’audit completo e quindi se può essere certificata secondo lo standard scelto. È un’opportunità per comprendere meglio la tua organizzazione, il contesto aziendale e per esaminare documenti e procedure chiave al fine di verificare che rispettino i requisiti della norma. Se non dovessero essere conformi, questo verrà spiegato e riportato nel rapporto di audit, con l’apertura di un’“Area di attenzione” (AoC). Anche le opportunità di miglioramento vengono sollevate come AoC in questa fase. Queste AoC devono essere riesaminate e risolte prima dell’audit di fase due, altrimenti l’audit di fase due non potrà portare alla certificazione.

È fortemente consigliato avere a disposizione una copia dello standard ISO applicabile da consultare e di eventuali standard di supporto. Ad esempio, la ISO 27002:2022 può essere utilizzata come riferimento per individuare e implementare i controlli relativi al trattamento dei rischi per la sicurezza delle informazioni richiesti dalla ISO 27001:2022.

Audit di Fase Due / Ricertificazione

Questi audit coprono tutte le clausole e i controlli e hanno quindi una durata maggiore. Includono anche i processi compresi nello scopo della certificazione.

Anche in questo caso si terrà una riunione di apertura per illustrare il piano di audit, i cui dettagli vengono forniti in anticipo. Poiché occorre coprire tutti gli aspetti, il tempo dedicato a ciascuna clausola, controllo e processo può essere inferiore rispetto a un audit di sorveglianza.

L’audit campione ha l’obiettivo di trovare evidenze di conformità e proporre opportunità di miglioramento.

Durante l’audit, il Lead Auditor terrà tutti aggiornati su eventuali rilievi o criticità. Questi saranno sempre spiegati e discussi in dettaglio per garantire una corretta interpretazione delle evidenze. La decisione finale spetta al Lead Auditor, ma è previsto un processo di appello se non si è d’accordo con la valutazione.

Al termine dell’audit si tiene una riunione di chiusura, con la partecipazione di tutte le parti interessate. La riunione serve a confermare lo standard verificato, lo scopo dell’audit e la valutazione finale con la raccomandazione alla certificazione. Eventuali rilievi vengono discussi, insieme al processo necessario per risolverli.

I rilievi degli audit, ad eccezione della fase uno, includono:

Non conformità maggiori – una grave mancata conformità ai requisiti dello standard ISO, una deviazione più rilevante dai risultati attesi del sistema di gestione rispetto a una non conformità minore, oppure più non conformità minori che evidenziano un problema sistemico o una mancata conformità complessiva allo standard. Ad esempio, non eseguire regolarmente i backup. Queste devono essere risolte entro 10 giorni e possono richiedere una visita straordinaria per verificare che le azioni correttive e la rimozione della causa radice siano state completate, prima che il certificato possa essere emesso.

Non conformità minori – una mancata conformità ai requisiti dello standard ISO che non compromette in modo significativo il sistema di gestione. In genere si tratta di episodi isolati facilmente risolvibili, ad esempio documentazione mancante o incompleta. Le risoluzioni devono essere dimostrate entro 90 giorni.

Ogni non conformità deve essere documentata in un Piano di Azione Correttiva (modulo CAP), che descriva come affrontare la non conformità, la rimozione della causa radice e le evidenze che ne confermino l’attuazione. Come detto, può essere necessaria una visita straordinaria per verificare che le azioni correttive siano efficaci. Questo deve avvenire prima dell’emissione o del rinnovo del certificato in caso di audit di ricertificazione.

Un altro rilievo può essere un OFI (Opportunity for Improvement – opportunità di miglioramento). Si tratta di raccomandazioni da registrare nel registro OFI e documentare come considerazione. Non è obbligatorio implementarle, ma le motivazioni devono essere registrate e riviste durante il successivo audit esterno.

Dopo l’audit

Una volta concluso l’audit, il Lead Auditor ha 48 ore per redigere il rapporto completo. Eventuali dubbi o osservazioni sul rapporto devono essere comunicati all’auditor il prima possibile. Il rapporto di audit viene sottoposto a revisione tecnica e, una volta completata questa fase e risolte eventuali non conformità, generalmente entro due settimane, il certificato viene emesso.

Ciclo di audit

Una volta ricevuto il certificato ISO, si entra nel ciclo di audit triennale. L’audit annuale verifica che il sistema di gestione sia mantenuto e resti conforme allo standard ISO.

Il primo audit dopo la certificazione è la Sorveglianza Uno, il secondo la Sorveglianza Due e il terzo è noto come audit di ricertificazione.

Ad ogni audit devono essere coperte le clausole obbligatorie; nell’arco dei tre anni, tutti i processi e i controlli devono essere auditati. Questi vengono riportati nella matrice triennale allegata al rapporto di audit e fungono da guida su ciò che sarà verificato nei successivi audit, anche se l’ordine può cambiare purché nell’arco del triennio tutti gli aspetti siano stati coperti almeno una volta.

Riepilogo

La pianificazione è fondamentale per ottenere il massimo dai tuoi audit. Fai domande: gli audit servono anche a darti la certezza che i tuoi processi funzionino. Pur non potendo fornire consulenza, gli auditor possono suggerire opportunità di miglioramento.

Il processo di audit è pensato per raccogliere evidenze di conformità, non per coglierti in fallo. Vivi il processo con serenità e ricorda che gli auditor sanno che stai gestendo un’attività e saranno flessibili quanto possibile.

Dopo l’audit, affrontare tempestivamente ed efficacemente le non conformità è essenziale. Questo non solo garantisce la conformità, ma favorisce anche il miglioramento continuo dei tuoi processi. Ricorda: gli audit sono uno strumento prezioso per aumentare la qualità e l’efficienza complessiva delle tue attività, oltre a fornire garanzia con la certificazione allo standard ISO.