Corso ISO 19011-2018 PDF

ACM CERT S.r.l.
Organismo di
Certificazione
LA NORMA ISO 19011:2018
Linee guida per gli audit dei
sistemi di gestione
Make life more easier

OBIETTIVI DEL CORSO
Presentare i contenuti essenziali della nuova EN ISO 1911:2018 e i vantaggi

1 che si possono ottenere da una corretta comprensione e applicazione dei
nuovi contenuti.
2 Evidenziare le novità introdotte, rispetto alla versione precedente.
Consentire ai partecipanti di migliorare la propria competenza del processo

3 di audit, interpretando al meglio, in chiave valutativa, le nuove norme sui
sistemi di gestione.
Aiutare ad affrontare rischi e criticità di audit utilizzando anche, attraverso la
4 discussione e simulazione in aula, le esperienze aziendali e professionali dei
partecipanti.
OBIETTIVI DEL CORSO
Alla fine del corso:
Conoscerete lo scopo e la struttura della linea guida ISO 19011:2018, a fronte

1
della quale devono essere eseguiti gli Audit.
2 Conoscerete le metodologie e i processi di audit propri della ISO 19011:2018.
3 Saprete quali sono le responsabilità di un Auditor e di un Lead Auditor.
Avrete individuato ed esercitato le capacità attitudinali richieste per dirigere l’audit:

4
capacità di pianificazione, organizzazione, comunicazione e gestione, differenziate
per Auditor e Lead Auditor.
PROGRAMMA
Introduzione
Aspetti generali e principali novità
Struttura della norma / Terminologia
Scopo e i principi dell’audit
Pianificazione di audit
Svolgimento / comunicazione dell’audit
Gestione dei rischi attraverso l’audit
Competenze e valutazione dell’auditor

VALUTAZIONE
Valutazione continua
in aula
✓ Partecipazione attiva
✓ Coinvolgimento nei lavori di gruppo
✓ Condivisione e ascolto della propria e
altrui esperienza
✓ Caratteristiche attitudinali in accordo
alla lineaguida ISO 19011 Test finale scritto
✓ Esercitazioni
Il corso è registrato presso AICQ SICEV,
Organismo di Certificazione del Personale
accreditato ACCREDIA
Introduzione
Corso Auditor / Lead Auditor ISO 19011:2018.

Corso
Corso19011:2018 Linee
Auditor / Lead guidaISO
Auditor Corso
per19011:2018
gli audit Auditor/Lead
di sistemi Auditor SGQ – Modulo 3 – Rev.0
di gestione ACM
ACMCert S.r.l.
GROUP
INTRODUZIONE
7
La terza edizione della ISO 19011, pubblicata nel

2018, presenta requisiti per gli audit dei sistemi di
gestione.
La norma è destinata a una vasta gamma di

utilizzatori (tra sui le organizzazioni di piccole e
medie dimensioni) e riguarda in particolare gli
audit interni e di seconda parte.
Per gli audit di terza parte si applica ISO/IEC

17021:2015; LA 19011:2018 può comunque essere
utile come guida anche per tali tipi di audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
INTRODUZIONE
8
AUDIT: Processo sistematico, indipendente e documentato per ottenere evidenze oggettive (3.8)
e valutarle con obiettività, al fine di determinare in quale misura i criteri dell’audit (3.7) sono
soddisfatti.
Campo di applicazione: Estensioni e limiti di un audit.

Nota: il campo di applicazione dell’audit generalmente comprende una descrizione dei siti fisici e virtuali, delle funzioni, delle unità
organizzative, delle attività e dei processi, così come il periodo di tempo richiesto.
Criteri dell’audit: Insieme di requisiti utilizzati come riferimento rispetto a cui si confrontano le
evidenze dell’audit.
Le fonti dei requisiti: Prescrizioni cogenti; Prescrizioni autodefinite dall’Organizzazione; Parti

interessate.
Esempi: requisiti cogenti, codici normativi / legislativi; attività e processi dell’Organizzazione; regole e convenzioni; norme del Sistema
di Gestione; policy, procedure e istruzioni dell’Organizzazione; esigenze delle parti interessate ecc….
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
INTRODUZIONE
9
Evidenze dell’audit: Registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai
criteri dell’audit e verificabili.
Nota: le evidenze dell’audit possono essere quantitative o qualitative.
Evidenza oggettiva: Dati che supportano l’esistenza o la veridicità di qualcosa.

Nota 1: L’evidenza oggettiva può essere ottenuta mediante osservazioni, misurazioni, prove o altri mezzi.
Nota 2: L’evidenza oggettiva ai fini dell’audit consiste generalmente in registrazioni, dichiarazioni di fatti o altre informazioni che
sono pertinenti ai criteri dell’audit e verificabili.
Risultanze dell’audit: Risultati della valutazione delle evidenze dell’audit raccolte rispetto ai criteri
dell’audit.
Nota1: le risultanze dell’audit possono indicare conformità o non conformità rispetto ai criteri dell’audit o segnalare opportunità di
miglioramento.
Conclusioni dell’audit: Esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli
obiettivi dell’audit e tutte le risultanze dell’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
INTRODUZIONE
10
Dalla prima edizione dello Standard Internazionale 19011 (del 2002), sono state
pubblicate varie nuove norme relative ai sistemi di gestione (con struttura, requisiti,
termini e definizioni comuni).
Necessità di prendere in considerazione un approccio più ampio per le attività di

audit dei sistemi di gestione e di fornire una linea guida più generale.
ISO 19011:2011 ISO 19011:2018
Terza edizione della norma UNI EN ISO 19011 pubblicata a luglio 2018.
Aspetti generali e principali novità

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
12
▪ Inserimento dell’approccio basato sul rischio fra i principi dell’audit;
▪ Estensione della parte relativa alla gestione del programma di audit, inclusa la gestione
dei rischi e opportunità del programma di audit;
▪ Estensione della sezione sulla conduzione dell’audit, con particolare riguardo alle fasi di
pianificazione degli audit;
▪ Estensione dei requisiti generali di competenza degli auditor e contestuale eliminazione

dell’appendice contenente i requisiti di competenza per audit degli specifici tipi di
sistemi di gestione (in coerenza con lo sviluppo della serie EN ISO/IEC 17021);
▪ Aggiornamento della terminologia, per riflettere meglio la logica del processo di audit
▪ Introduzione, come appendice, di una guida sui nuovi e più importanti concetti e
strumenti applicabili al processo di audit, tra cui: il contesto dell’organizzazione, la
leadership e l’impegno, gli audit virtuali, la conformità legislativa, la catena di fornitura.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
13
La Struttura
ISO 19011:2011 ISO 19011:2018

4 Principi dell’attività di audit 4 Principi dell’attività di audit
5 Gestione di un programma di audit 5 Requisiti strutturali
6 Svolgimento di un audit 6 Conduzione di un audit
7 Competenza e valutazione degli 7 Competenza e valutazione degli auditor
auditor
App. A Guida ed esempi illustrativi delle
conoscenze e abilità degli auditor specifiche
della disciplina
App. B Guida supplementare destinata agli App. A Guida aggiuntiva destinata agli
auditor per la pianificazione e la conduzione auditor per la pianificazione e la
di audit conduzione di audit
NESSUN CAMBIAMENTO STRUTTURALE!

⇒ coerenza con sviluppo MSs e serie ISO/IEC 17021-X
⇒ impattanti modifiche puntuali basate su driver del processo di revisione!
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
14
Contiamo alcune parole …
ISO 19011:2011 ISO 19011:2018

Contesto = 3 Contesto = 20
Rischio = 53 Rischio = 80
Opportunità = 5 Opportunità = 56
⇒ CONTESTO: +17 volte

⇒ RISCHIO: +27 volte
⇒ OPPORTUNITÁ: +51 volte
Possiamo presumere che venga maggiormente stimolato il miglioramento continuo?

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
15
I driver della revisione

AGGIORNAMENTI TERMINOLOGICI ⇒ da 20 a 26 termini
✓ 3 nuovi termini (audit combinato, audit congiunto, evidenza dell’audit)

✓ 4 nuovi termini HLS (requisito, processo, prestazioni, efficacia)
✓ 1 termine cancellato (guida)
▪ coerenza con HLS e ISO 9000:2015
▪ alcuni affinamenti alla traduzione
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
16
L’HLS
4. 9.
5. 7. 8. 10.
CONTESTO dell’ 6. PIANIFICAZIONE VALUTAZIONE delle
LEADERSHIP SUPPORTO ATTIVITÀ OPERATIVA MIGLIORAMENTO
ORGANIZZAZIONE PRESTAZIONI
4.1 Comprendere 6.1 Azioni per 9.1 Monitoraggio,

5.1 Leadership e 8.1 Pianificazione e
l’organizzazione e affrontare rischi e 7.1 Risorse misurazione, analisi 10.1 Generalità
impegno controllo operativi
il suo contesto opportunità e valutazione
4.2 Comprendere 6.2 Obiettivi per la

10.2 Non
le esigenze e Qualità e 8.2 Requisiti per i
5.2 Politica 7.2 Competenza 9.2 Audit Interno conformità e
aspettative delle pianificazione per il prodotti e servizi
azioni correttive
parti interessate loro miglioramento
4.3 Determinare il 5.3 Ruoli,

8.3 Progettazione e 10.3
campo di responsabilità e 6.3 Pianificazione 9.3 Riesame di
7.3 Consapevolezza sviluppo di prodotti Miglioramento
applicazione del autorità delle modifiche Direzione
e servizi continuo
SGQ nell’organizzazione
4.4 Sistema di 8.4 Controllo dei

gestione per la processi prodotti e
7.4 Comunicazione servizi forniti
Qualità e relativi
processi dall’esterno
8.5 Produzione ed
7.5 Informazioni
erogazione dei
Documentate
servizi
LEGENDA 8.6 Rilascio di

prodotti e servizi
ISO
HLS
9001:2015
Fonte: I quaderni della Qualità «Struttura di Alto 8.7 Controllo degli

output non conformi
Livello e ISO 9001:2015» – UNI 2015
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
17
L’HLS
Struttura comune per tutti i nuovi Sistemi di Gestione, fissata dalle Direttive ISO/IEC*:
comprensione del contesto, identificazione delle parti interessate, valutazione rischi e
opportunità, approccio per processi, leadership
✓ elevata professionalità degli auditor

✓ maggiore trasversalità competenze
* ISO/IEC Directives, Part 1, Consolidated ISO Supplement, 2016, Annex SL, Appendix 2
Tutte le norme relative a sistemi di gestione devono utilizzare un quadro comune contenete:
▪ Struttura ad alto livello
▪ Testo e terminologia comune
▪ Ulteriori requisiti per specifica disciplina
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
LA STRUTTURA DELLA NORMA

18
Altre Norme…
GOVERNANCE
SISTEMI DI GESTIONE DEI RISCHI ISO 31000
Sistemi di Sistemi di Sistemi di Sistemi di

Gestione Gestione Gestione Gestione
Qualità Ambientale Sicurezza sul Sicurezza delle
Lavoro Informazioni
ISO 9001 ISO 14001
ISO 45001 ISO 27001
SISTEMI DI GESTIONE PER LA COMPLIANCE ISO 19600

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
PRINCIPALI NOVITÀ
19
L’approccio basato sull’HLS
07 SUPPORTO
06 PIANIFICAZIONE
PLAN DO ATTIVITA’
04 CONTESTO 08
OPERATIVA
ACT CHECK
VALUTAZIONE
09
10 MIGLIORAMENTO PRESTAZIONI
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
ASPETTI GENERALI
20
La ISO 19011 fornisce una guida per organizzazioni di tutti i tipi e dimensione e per audit aventi
campi di applicazione ed estensione variabili, compresi quelli condotti da gruppi di audit di
ampia dimensione, tipicamente nell’ambito di organizzazioni di grandi dimensioni, e quelli
condotti da singoli auditor, sia in grandi sia in piccole organizzazioni.
La guida dovrebbe essere adattata, per quanto appropriato, al campo di applicazione,

complessità ed estensione del programma di audit.
Il documento è focalizzato sugli audit interni (audit di prima parte) e sugli audit condotti da
organizzazioni su propri fornitori esterni e altre parti interessate (audit di seconda parte).
Può anche essere utile per audit esterni condotti per finalità diverse dalla certificazione di terza
parte di sistemi di gestione.
La ISO/IEC 17021-1 fornisce requisiti per l'audit di sistemi di gestione per la certificazione di terza
parte; il documento può comunque fornire un'ulteriore utile guida.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
ASPETTI GENERALI
21
E’ destinata a una vasta gamma di utilizzatori (tra sui le organizzazioni di piccole e medie dimensioni e
operanti in qualsiasi settore) e riguarda in particolare gli audit interni e di seconda parte.
Per gli audit di terza parte si applica ISO/IEC 17021-1:2015; la 19011:2018 può comunque essere utile come
guida anche per tali tipi di audit
Audit interni Audit esterni
Azienda Audit ai fornitori Organismi di Certificazione

(Prima Parte) (Seconda parte) (Audit di terza parte)
Audit di prima parte effettuati Audit di seconda parte effettuati Per scopi legali, normativi e simili
dall’organizzazione (o per suo da chi ha un interesse nei confronti (ISO 17021-1:2015).
conto) per finalità interne (es. dell’organizzazione, tipicamente il
soddisfare punti norma ISO 9001). cliente, o da altri per conto dello La “certificazione” è l’atto
▪ Non ci sono riferimenti standard che stesso. mediante il quale una terza parte,
definiscono la frequenza e/o l’estensione
dell’audit interno indipendente dalle parti
▪ È buona norma che tutte le aree siano interessate, attesta che un
sottoposte ad audit almeno una volta all’anno
▪ Almeno un audit di prima parte deve essere
prodotto, servizio, o un sistema di
stato programmato ed effettuato prima della gestione dell’organizzazione è
visita di certificazione conforme ad una norma di
riferimento.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
ASPETTI GENERALI
22
L’analisi dei rischi e opportunità
RISCHI
▪ Incertezza sui risultati per via della complessità delle norme;
▪ Impatto dei requisiti di alto livello sul programma di audit;
▪ L’approccio basato sul rischio richiede nuove competenze da parte degli
auditor.
OPPORTUNITA’
▪ Accrescere la reale efficacia delle attività di audit;
▪ Sviluppare/applicare nuovi metodi per assicurare maggiore ripetibilità,
riproducibilità e comparabilità dei risultati;
▪ Sviluppo di nuove competenze trasversali.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
ASPETTI GENERALI
23
Struttura della norma

La norma ISO 19011 fornisce una guida sull’audit di sistemi di gestione, compresi i principi di audit,
la gestione dei programmi di audit, la conduzione degli audit di sistemi di gestione e per la
valutazione delle competenze delle persone coinvolte nel processo di audit;
La ISO 19011:2018 non indica requisiti, ma fornisce una guida sulla gestione di un programma di
audit, la pianificazione e lo svolgimento di un audit del sistema di gestione, nonché la competenza e
la valutazione di auditor e un gruppo di audit.
Essa è stata predisposta per essere flessibile ed il suo utilizzo può variare in funzione delle
dimensioni e del livello di maturità dei sistemi di gestione delle organizzazioni nonché del tipo e
della complessità delle organizzazioni stesse
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
ASPETTI GENERALI
24
La Certificazione
Struttura della norma

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
LA STRUTTURA DELLA NORMA

26
Introduzione
Capitolo 1 • Scopo e campo di applicazione
Capitolo 2 • Riferimenti normativi (non sono presenti)
Capitolo 3 • Termini e definizioni
Capitolo 4 • Principi di audit
Capitolo 5 • Gestione di un programma di audit
Capitolo 6 • Conduzione di un audit
Capitolo 7 • Competenze e valutazione degli auditor
Appendice A
(guida aggiuntiva per pianificazione
e conduzione audit)
Scopo e principi dell’audit

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
1 SCOPO E PRINCIPI DELL’AUDIT

28
Qual è lo scopo di un audit?
Quali sono le relazioni con l’evoluzione dei sistemi di gestione?
Chi è coinvolto in un audit e con quali responsabilità?

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

29
Scopo dell’audit
Lo scopo dell’audit è quello di raccogliere e mettere a

disposizione le informazioni necessarie all’organizzazione
per operare in accordo con i requisiti e per migliorare con
continuità.
Esito al quale mira un’azione.

Dal greco: scopòs: mira, bersaglio
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

30
L’evoluzione dei Sistemi di gestione
Negli ultimi 20 anni molte altre norme di sistemi di

gestione sono entrate in uso a livello globale.
Le Organizzazioni che usano più norme di Sistemi di

Gestione richiedono sempre più un format comune e
un linguaggio allineato fra tali norme.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

31
L’High Level Structure (HLS)
ISO ha deciso, con una direttiva del 2012,che tutte le

norme relative ai sistemi di gestione debbano utilizzare
un quadro comune contenente:
▪ Struttura di alto livello
▪ Testo e terminologia comune
▪ Ulteriori requisiti per "specifica-disciplina".
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

32
HLS - Principali vantaggi
▪ Aumentare la compatibilità tra standard differenti

▪ Facilitare nell’implementazione di nuovi standards
▪ Facilitare l’integrazione di differenti standard
▪ Garantire un maggior valore aggiunto per gli
utilizzatori
ISO 9001, ISO 14001, ISO 22000, ISO 20000-1, ISO

45001 ecc… sono stati revisionati adottando i nuovi
requisiti.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

33
HLS – Struttura dei requisiti

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

34
HLS – Struttura dei requisiti

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

35
L’evoluzione dei sistemi di gestione

Audit conformità: garantire controllo del
1987 2000 2015 mantenimento del sistema, dei processi e dei
prodotti rispetto ai requisiti.
Efficacia Performance
Efficacia Audit efficacia: verificare adeguatezza dei
processi e raggiungimento risultati.
Efficacia
Audit performance: valutare complessivamente
Conformità le prestazioni aziendali e sostenere il
Conformità
miglioramento continuo del sistema di gestione,
Conformità
in funzione del contesto, dei rischi e delle
opportunità.
Fonte: G. Mattana «La nuova ISO 19011:2018 Riuscirà a innovare l’audit interno e ad
aumentare significativamente il valore aggiunto?», 2018
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

36
Scopo dell’audit
▪ L’ottenimento di risultati attesi costituisce un requisito

essenziale dei Sistemi di Gestione che l’audit deve
considerare;
▪ Occorre quindi partire da contesto, rischi del sistema e
obiettivi attesi dell’Organizzazione;
▪ Tra i rischi dell’audit si considerano anche quelli relativi
all’individuazione degli obiettivi dell’audit, alla
inefficace comunicazione interna / esterna e alla
competenza degli auditor interni.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

37
Scopo dell’audit
▪ Le conclusioni dell’audit dovrebbero considerare
aspetti come l’estensione della conformità rispetto ai
criteri di audit e la robustezza del Sistema di gestione,
inclusa l’efficacia del Sistema di gestione nell’ottenere i
risultati attesi, l’identificazione dei rischi e l’efficacia
delle azioni attuate dall’organizzazione per trattare
mitigarne gli effetti;
▪ Cresce quindi anche la distanza tra la ISO 19011 e la
ISO 17021-1 in quanto gli scopi delle due norme sono
diversi, in misura maggiore che in precedenza;
▪ Occorre quindi aumentare la consapevolezza delle
differenze e massimizzare il valore aggiunto potenziale
di ciascuna e non allinearle riducendolo.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

38
I principi dell’attività di audit

Il rispetto dei principi è il presupposto per l’attendibilità del
processo di audit; esso fa sì che le conclusioni dell’audit siano
adeguate (complete e pertinenti) e che, in circostanze simili,
auditor diversi, pur operando in modo indipendente, pervengano
a conclusioni simili.
1. Comportamento etico (Integrità)

2. Presentazione imparziale
3. Adeguata professionalità
4. Riservatezza
5. Indipendenza
6. Approccio basato sull’evidenza
7. Approccio basato sul rischio.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

39
I principi dell’attività di audit - Auditor

Integrità: il fondamento della professionalità.
Gli auditor e le persone che gestiscono i programmi di audit

dovrebbero svolgere il proprio lavoro con onestà, diligenza e
responsabilità, osservare e rispettare tutti i requisiti legali,
dimostrare la propria competenza, svolgere il proprio lavoro in
modo imparziale, tenere conto di eventuali influenze che
possono essere esercitate sul proprio giudizio nell’esecuzione
dell’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

40

Presentazione imparziale: l’obbligo di riportare fedelmente e con precisione(“onesta”).
Le risultanze, le conclusioni e i rapporti di audit devono riflettere

in modo fedele ed accurato le attività di audit. Ogni significativo
ostacolo incontrato durante l’audit e/o divergenza irrisolta fra
l’audit team e l’organizzazione oggetto di audit devono essere
citati nel rapporto di audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

41

Dovuta professionalità: l’applicazione della diligenza e di giudizio nel corso dell’attività
di audit.
L’auditor deve esercitare la propria attenzione in relazione
all’importanza del compito assegnatogli e alla fiducia riposta in lui
da parte del committente dell’audit e delle altre parti interessate.
Un fattore importante nello svolgimento del lavoro è avere la
capacità di emettere giudizi ponderati in tutte le situazioni
riguardanti l’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

42

Riservatezza
L’auditor dovrebbe essere discreto nell’uso e nella protezione

delle informazioni acquisite nell'esercizio delle funzioni.
Le informazioni non dovrebbero essere utilizzate in modo
inappropriato per interesse personale.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

43
I principi dell’attività di audit – Processo di Audit

Indipendenza
È la base per l’imparzialità di un audit e per l’obiettività delle

conclusioni di un audit.
Gli auditor dovrebbero essere indipendenti dall’attività di audit e
dovrebbero agire in modo libero da pregiudizi e conflitto di
interessi.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

44

Approccio basato sull’evidenza
Il metodo razionale per raggiungere conclusioni dell’audit

affidabili e riproducibili in un processo di audit sistematico.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

45

Approccio basato sul rischio (Risk Based Approach)
▪ Un approccio all’audit che consideri rischi e opportunità.

▪ L’approccio basato sul rischio dovrebbe influenzare in
maniera sostanzialela pianificazione, la conduzione e il
reporting degli audit al fine di assicurare il conseguimento
degli obiettivi
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

46
Ruoli e responsabilità
La Direzione
Gruppo di verifica
Responsabili
di funzione Intervistati
Termini e definizioni

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
3 TERMINI E DEFINIZIONI
48
audit [audit]
processo sistematico, indipendente e documentato per ottenere evidenze oggettive (3.8) e
valutarle con obiettività, al fine di determinare in quale misura i criteri dell’audit (3.7) sono
soddisfatti.
nella precedente versione:

audit (audit): Processo sistematico, indipendente e documentato per ottenere le evidenze
dell’audit (3.3) e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit
(3.2) sono stati soddisfatti.
NB: alcune differenze riguardano solo la traduzione in lingua italiana: ...

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
49
3.14 Campo di applicazione dell'audit [audit scope]

estensione e limiti di un audit (3.1)
Nota 1: Il campo di applicazione dell’audit generalmente comprende una descrizione dei siti fisici e virtuali, delle
funzioni, delle unità organizzative, delle attività e dei processi, così come il periodo di tempo preso in esame.
Nota 2: Un sito virtuale è dove un'organizzazione esegue un lavoro o eroga un servizio utilizzando un ambiente on-
line, permettendo alle persone di eseguire dei processi indipendentemente dai luoghi fisici in cui si trovano.
nella precedente versione:

Estensione e limiti di un audit (3.1).
Nota - Il campo di applicazione dell’audit generalmente comprende una descrizione dei siti, delle unità
organizzative, delle attività e dei processi, così come il periodo di tempo richiesto.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
50
3.19 Rischio [risk]

Effetto di incertezza
Nota 1: Un effetto è uno scostamento da quanto atteso - positivo o negativo.

Nota 2: L'incertezza è lo stato, anche parziale, di carenza di informazioni (3.8.2) relative a un evento, alla sua
comprensione o conoscenza, alle sue conseguenze o alla probabilità.
Nota 3: Il rischio è spesso caratterizzato dal riferimento a potenziali eventi (come definito nella Guida ISO 73:2009,
punto 3.5.1.3) e conseguenze (come definito nella Guida ISO 73:2009, punto 3.6.1.3), o ad una loro combinazione.
Nota 4: Il rischio è frequentemente espresso in termini di combinazione delle conseguenze di un evento (compresi
cambiamenti nelle circostanze) e della probabilità (come definito nella Guida ISO 73:2009, punto 3.6.1.1) associata
al suo verificarsi.
FONTE: ISO 9000:2015, 3.7.9, modificata — Le Note 5 e 6 sono state eliminate

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
51
3.2 Audit combinato

Quando due o più sistemi vengono sottoposti, contemporaneamente, ad un singolo
audit.
3.3 Audit congiunto

L’audit eseguito congiuntamente da due o più organismi di audit su un’unica
organizzazione.
3.4 Programma di audit

Comprende tutte le attività necessarie per pianificare, organizzare ed eseguire gli
audit.
3.5 Campo di applicazione dell’audit

Descrizione dei siti fisici e virtuali, delle funzioni, delle unità organizzative, delle
attività e dei processi, del periodo di tempo richiesto.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
52
3.6 Piano di audit

Descrizione delle attività e delle disposizioni riguardanti un audit.
3.7 Criteri di audit

Serie di requisiti (3.23) utilizzati come riferimento rispetto a cui si confrontano
le evidenze oggettive (3.8). Possono includere: politiche, procedure, istruzioni
di lavoro, requisiti legali, obblighi contrattuali, ecc.
3.8 Evidenze oggettive

Dati che supportano l’esistenza o la veridicità di qualcosa.
Possono essere ottenute mediante osservazioni, misurazioni, prove o altri
mezzi.
Consistono generalmente in registrazioni, dichiarazioni di fatti o altre
informazioni che sono pertinenti ai criteri dell’audit e verificabili.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
53
3.9 Evidenze di audit

Registrazioni, dichiarazioni di fatti o altre informazioni che sono pertinenti ai
criteri dell’audit e verificabili.
3.10 Risultanze dell’audit

Risultati della valutazione delle evidenze dell’audit raccolte rispetto ai criteri
dell’audit. Possono indicare conformità o non conformità rispetto ai criteri
dell’audit. Possono portare all'identificazione di rischi, opportunità di
miglioramento o alla registrazione di buone pratiche.
3.11 Conclusioni dell’audit

Esito di un audit a seguito dell’esame degli obiettivi e delle risultanze dell’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
54
3.14 Gruppo di audit

Una o più persone che effettuano un audit, supportate, se richiesto, da esperti
tecnici (3.16). Un auditor (3.15) del gruppo di audit è nominato responsabile del
gruppo di auditor. Il gruppo di audit può includere auditor in training.
3.15 Auditor
Persona che conduce un audit. Internal auditor: figura che abbia le competenze e le
caratteristiche per realizzare audit interni.
3.16 Esperto tecnico

Persona che fornisce conoscenze specifiche o esperienza al gruppo di audit, senza
svolgere la funzione di auditor.
3.16 Osservatore
Individuo che accompagna il gruppo di audit ma non fa da auditor.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
55
3.20 Conformità
Soddisfacimento di un requisito (3.23).
3.21 Non Conformità

Mancato soddisfacimento di un requisito.
3.22 Competenza
Capacità di applicare conoscenze e abilità per ottenere i risultati desiderati.
3.23 Requisito
Necessità o aspettative dichiarate, generalmente implicite (uso o prassi
comune per l’organizzazione, per i suoi clienti e per le altre parti interessate
che l’esigenza o aspettativa in esame sia implicita), o obbligatorie.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
56
3.24 Processo
Insieme di attività correlate o interagenti che trasformano elementi in ingresso
(input) in elementi in uscita (output e outcome) per fornire un risultato
previsto.
3.25 Performance
Risultato misurabile. Prestazioni possono riguardare risultati quantitativi o
qualitativi. Le prestazioni possono riguardare la gestione di attività, processi,
prodotti, servizi, sistemi o organizzazioni.
3.26 Efficacia
Misura della realizzazione delle attività e dei risultati secondo quanto
pianificato.
Pianificazione dell’audit

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
4 PIANIFICAZIONE DELL’AUDIT
58
Programma / Piano di audit
Programma di audit
Disposizioni per un insieme di uno o più audit pianificati per un arco di tempo definito
ed orientati verso uno scopo specifico.
Un programma di audit comprende tutte le attività necessarie per pianificare,
organizzare ed eseguire gli audit
Piano di audit
Descrizione delle attività e delle disposizioni riguardanti un audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
59
Programma di audit
Elementi base per la preparazione di un programma di audit

▪ Obiettivi organizzativi;
▪ Fattori interni ed esterni rilevanti;
▪ Esigenze e aspettative delle parti interessate;
▪ Requisiti relative a sicurezza e riservatezza delle informazioni.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
60
Programma di audit
Informazioni per la realizzazione di un programma di audit

▪ Obiettivi;
▪ Rischi e opportunità associate ed azioni per affrontarli;
▪ Campo di applicazione di ciascun audit;
▪ Numero durata e frequenza degli audit;
▪ Criteri degli audit;
▪ Metodi da impiegare;
▪ Criteri per selezionare i componenti del Gruppo di audit;
▪ Informazioni documentate pertinenti.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
61
Programma di audit
Responsabilità per la gestione di un programma di audit

▪ Stabilire l’estensione del programma;
▪ Identificare rischi e opportunità associate ed azioni per affrontarli;
▪ Assicurare la competenza complessiva dei gruppi di audit;
▪ Gestire i processi di supporto:
➢ Programmazione temporale;
➢ Valutazione auditor
➢ Comunicazione interna ed esterna
➢ Reclami e dispute
➢ Follow up
➢ Reporting alle parti interessate
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
62
Programma di audit
Competenze per la gestione di un programma di audit

Il personale dovrebbe avere le competenze necessarie per gestire il programma, i
rischi e le opportunità e conoscenze in merito a:
▪ Principi, processi e metodi di audit;
▪ Norme di sistemi di gestione e documenti di riferimento;
▪ Informazioni riguardanti l’organizzazione;
▪ Requisiti legislative e regolamentari applicabili.
Le competenze andrebbero mantenute attraverso attività di sviluppo professionale

continuo.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
63
Programma di audit
PLAN DO CHECK ACT
5.2 Stabilire gli obiettivi 5.7 Riesaminare e

del programma di audit. migliorare il PDA.
5.3 Determinare e
valutare i rischi e le
opportunità del PDA .
5.4 Stabilire il programma 5.5 Attuare il programma 5.6 Monitorare il

di audit. di audit. programma di audit.
Cap. 5
Cap. 6
5.5 Avvio dell audit. 6.7 Conduzione delle
azioni successive all audit
(follow up)
6.3 Preparazione delle 6.4 Conduzione delle

attività di audit attività di audit
6.5 Preparazione e
distribuzione del rapporto 6.6 Chiusura dell audit
di audit
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
64
Programma di audit
Rischi e opportunità di un programma di audit
Rischi
▪ Pianificazione;
▪ Risorse;
▪ Gruppo di audit;
▪ Comunicazione;
▪ Coordinamento
▪ Monitoraggio
Opportunità
▪ Conduzione di audit multipli;
▪ Ottimizzazione tempi e distanze;
▪ Adeguamento competenze;
▪ Allineamento disponibilità.
Corso Auditor / Lead Auditor ISO 19011:2018 ACM GROUP
Il processo di audit
- AVVIO - PUNTI DI FORZA
1 - RICERCA 3 - REGISTRAZIONE E CATEGORIZZAZIONE RILIEVI
- PREPARAZIONE - SPIEGAZIONE RILIEVI
- COMUNICAZIONE - RIUNIONE DI CHIUSURA
- RACCOMANDAZIONI
- TEMPISTICA PER LE AZIONI CORRETTIVE
PIANIFICAZIONE CONDUZIONE RAPPORTO FOLLOW UP
- RIUNIONE DI APERTURA - VERIFICA IMPLEMENTAZIONE AZIONI CORRETTIVE

2 - APPROCCIO ALL’AUDIT 4 - CHIUSURA RILIEVI AUDIT PRECEDENTE
- GESTIONE DEL TEMPO
- RACCOLTA DELLE INFORMAZIONI
- REGISTRAZIONE DELLE INFORMAZIONI
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
66
Pianificare l’audit
AVVIO PREPARAZIONE DEL PIANO

▪ Obiettivi / Criteri 1 ▪ Caratteristiche e contenuti
▪ Campo di applicazione / Fattibilità
PIANIFICAZIONE
RICERCA COMUNICAZIONE
▪ Raccolta delle informazioni
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
67
Pianificare
l’Audit AVVIO RICERCA
PIANO
COMUNICAZIONE PREPARAZIONE
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
68
Approccio basato sul rischio in fase di pianificazione
▪ Adottare un approccio basato sul rischio in fase di pianificazione sulla base delle
informazioni specificate nel programma di audit e delle informazioni
documentate fornite dall’organizzazione oggetto dell’audit;
▪ La pianificazione dell’audit dovrebbe considerare i rischi per le attività di audit
relative ai processi dell’organizzazione oggetto dell’audit e tenerne conto
relativamente a:
➢ Composizione Gruppo di audit;
➢ Tecniche di campionamento da applicare;
➢ Rischi di non raggiungere gli obiettivi dell’audit;
➢ Rischi che possono derivare all’organizzazione dall’effettuazione dell’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
69
Avvio dell’Audit
▪ Nomina del responsabile del gruppo di audit;
▪ Definizione degli obiettivi di ogni audit:
➢ Conformità del sistema ai criteri dell’audit inclusi requisiti cogenti o contrattuali;
➢ Efficacia del sistema e/o identificazione di processi/aree migliorabili;
➢ Valutazione adeguatezza del sistema di gestione rispetto al contesto ed agli indirizzi
strategici dell’organizzazione;
➢ Capacità del Sistema di gestione di stabilire e conseguire obiettivi affrontando efficacemente
rischi ed opportunità.
▪ Definizione del campo di applicazione di ogni audit;
▪ Determinazione della fattibilità dell’audit;
▪ Costituzione del gruppo di audit in funzione di:
➢ Obiettivi, campo di applicazione, criteri, durata dell’audit;
➢ Requisiti cogenti, contrattuali applicabili;
➢ Conoscenze e competenze necessarie.
▪ Contatto iniziale con l’organizzazione oggetto dell’audit.
AVVIO
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
70
Riesame informazioni documentate
▪ Raccogliere informazioni per comprendere il funzionamento
dell’organizzazione oggetto dell’audit;
▪ Pervenire ad una visione d’insieme circa l’estensione delle informazioni
documentate per determinarne la conformità rispetto ai criteri dell’audit;
▪ Preparare i documenti di lavoro in funzione delle attività da svolgere;
▪ Tipologia:
➢ Liste di riscontro fisiche, digitali o SW;
➢ Piani di campionamento;
➢ Moduli di registrazione;
➢ Informazioni audio-visive.
RICERCA
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
71
Preparazione del piano di audit
▪ Caratteristiche del piano di audit:
➢ Base di accordo tra gruppo di verifica e organizzazione;
➢ Permette la programmazione delle attività;
➢ Flessibile.
▪ Contenuti del piano di audit:
➢ Obiettivi, criteri e documenti di riferimento;
➢ Campo di applicazione, unità organizzative, processi;
➢ Tempi, durata delle attività, riunioni;
➢ Ruoli e responsabilità dei membri del gruppo di audit;
➢ Riferimenti particolari su aree critiche, partecipazione di tecnici, ecc…;
➢ Identificazione del rappresentante dell’organizzazione;
➢ Indicazioni sulla logistica;
➢ Aspetti soggetti a vincoli di riservatezza.
PREPARAZIONE
DEL PIANO
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
72
Comunicazione del piano di audit
▪ Comunicazione del piano al committente per riesame ed accettazione;
▪ Presentazione del piano all’organizzazione oggetto dell’audit;
▪ Risoluzione di eventuali obiezioni e/o scostamenti.
COMUNICAZIONE
ESERCIZIO 1
▪ A gruppi di 3/4 persone, ipotizzate un modello di piano di

audit, tenendo presenti i contenuti minimi stabiliti dalla
norma ISO 19011:2018 (non è richiesto alcun riferimento a
specifici criteri di audit).
▪ Preparatevi poi a presentare il vostro lavoro al resto

dell’aula.
Tempo a disposizione: 20 minuti (10 minuti per la restituzione).
Preparazione di un modello di piano di audit

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
74
Esempio di check list

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
75
Check list - Benefici
Aiuto nella fase di Guida l’auditor nello

preparazione svolgimento dell’attività
Aiuta l’accuratezza e
CHECK Facilitano il controllo dei tempi e
la coerenza LIST permettono la congruenza da
parte di audit diversi
Facilitano la stesura del Assiste il valutato

rapporto
Le check list sono un supporto, ma siete voi che gestite l’audit, non le check list stesse!
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
76
Check List
Prescrizioni elementari della ISO 19011
La linea guida ISO 19011 al punto 6.3.4. dichiara:

▪ L’utilizzo di liste di riscontro e moduli non dovrebbe limitare l’estensione
delle attività di audit, che possono cambiare come risultato di
informazioni raccolte durante l’audit stesso;
▪ L’utilizzo quindi di liste preconfezionate, per essere efficace, deve essere
tagliato su misura dell’organizzazione.
ESERCIZIO 2
▪ A gruppi di 3/4 persone, facendo riferimento alle Istruzioni

operative per la taratura di strumenti allegate, preparate
una lista di riscontro tale da consentire la verifica
dell’attuazione delle prescrizioni elementari contenute nel
documento.
▪ Materiale a disposizione:
➢ Istruzioni operative per la taratura di strumenti;
➢ ISO 19011
Preparazione di una check list

Lo svoglimento dell’audit

5 SVOLGIMENTO DELL’AUDIT
Il processo di audit
- RACCOMANDAZIONI

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
80
La conduzione di audit
RIUNIONE DI APERTURA RACCOLTA DELLE INFORMAZIONI

▪ Accordo scopo/obiettivi;
2 ▪ Domande;
▪ Conferma dettagli programma; ▪ Ascolto;
▪ Osservazione
▪ Spiegazione risultati attesi … ▪ Verifica
APPROCCIO ALL’AUDIT CONDUZIONE REGISTRAZIONE DELLE INFORMAZIONI

▪ Verticale; ▪ Appunti;
▪ Orizzontale; ▪ Check List;
▪ Casuale
GESTIONE DEL TEMPO

▪ Rispetto del piano di audit;
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
81
Insieme affronteremo:
▪ Chi partecipa alla riunione di apertura e con quali obiettivi?

▪ Perchè è importante comunicare efficacemente durante un’attività di
verifica?
…e durante lo svolgimento...
▪ Valutare il processo e l’eventualità di modifiche;

▪ Comunicare il progredire dell’audit;
▪ Comunicare eventuali problemi che possono condizionare l’audit;
▪ Definire ruoli e responsabilità di eventuali guide;
▪ Raccogliere le informazioni secondo opportuno campionamento;
▪ Verificare le informazioni raccolte;
▪ Classificare le informazioni raccolte.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
82
Riunione di apertura
Obiettivo di una riunione di apertura:
La riunione di apertura dovrebbe avere tra i suoi obiettivi almeno:
▪ Confermare la pianificazione, la descrizione delle attività di audit;
▪ Confermare canali e metodi di comunicazione;
▪ Fornire chiarimenti.
Partecipanti di una riunione di apertura:

Nella riunione di apertura dovrebbero partecipare almeno:
▪ Direzione (audit di II e III parte);
▪ Responsabili di processi o funzioni soggette ad audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
83
Riunione di apertura
Quali contenuti dovrebbero essere trattati nella riunione di

apertura?
Almeno:
▪ Natura dell’audit;
▪ Presentazione del gruppo di audit;
▪ Conferma di obiettivi, estensione e criteri dell’audit;
▪ Conferma dei tempi previsti, dei metodi, delle procedure;
▪ Conferma delle modalità di reportistica e classificazione NC;
▪ Conferma delle condizioni di sicurezza(safety e security).
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
84
Riunione di apertura - Riassunto
Presieduta dal Lead Auditor Partecipano la Direzione e i Responsabili dei

processi o funzioni soggette ad audit
Ha l’obiettivo di:
RIUNIONE I contenuti trattati:
▪ Confermare la pianificazione; APERTURA ▪ Natura dell’audit;
▪ Confermare canali e metodi di ▪ Presentazione del Gruppo di audit;
comunicazione; ▪ Confermadi obiettivi, estensione e criteri
▪ Fornire chiarimenti. dell’audit;
▪ Conferma dei tempi previsti, dei metodi,
delle procedure;
▪ Conferma delle modalità di reportistica e
classificazione NC;
▪ Conferma dellecondizioni di sicurezza
(security & safety)
ESERCIZIO 3
▪ A gruppi di 3/4 persone, prendete nota di quello che

succede… di cosa viene comunicato e con che efficacia.
Una comunicazione efficace in verifica

Emittente
Ricevente
Una comunicazione efficace in verifica
La comunicazione è contenuto e relazione
È cosa facciamo per capire e farci capire

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
87
La relazione
Una buona relazione può essere costruita su differenziazione e

similitudine a livello di:
▪ Voce;
▪ Linguaggio;
▪ Abbigliamento / acconciatura;
▪ Gesti
▪ Postura
▪ Espressione
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
88
La relazione
I punti chiave per un ascolto attivo
Mostrare un linguaggio del corpo Usare perifrasi.

aperto.
…… mostrarsi interessati ed essere

interessati
ASCOLTO
Dare feedback con le parole e Mantenere il contatto visivo.

col corpo.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
89
La relazione
Migliorare la propria efficacia
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
90
La relazione
Le differenze culturali
Gestione dei rischi e i processi

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
6 GESTIONE DEI RISCHI ATTREVERSO L’AUDIT

92
▪ Cos’è un rischio?
▪ Cosa si intende per approccio per processi e quali sono i vantaggi dell’audit
per processi?
▪ Dove e cosa guardare e quale tecnica/metodo di indagine utilizzare?
▪ Cosa si intende per campionamento?
▪ Quando si applicano i principi di campionamento nell’attività di audit?
▪ Flusso logico dell’attività di audit con alcune definizioni.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

93
Convivere con i rischi
▪ Il Rischio è una parte della normale vita lavorativa delle

Aziende;
▪ Ha impatto sui profitti e sul valore delle Aziende;
▪ La comprensione dei rischi aiuta l’Azienda a:
➢ Bilanciare le avversità dovute ai rischi;
➢ Creare una consapevole cultura di gestione del rischio.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

94
Cos’è un rischio?
Un rischio è la possibilità di soffrire di una perdita, di Una fonte di pericolo.
un infortunio, di un disagio o di una distruzione. [WorldNet Dictionary, consultato il 25/11/2004]
[Webster's Third New International Dictionary1981]
L’esposizione a possibili infortunio perdite.

Il rischio è il potenziale per la realizzazione di [Oxford Dictionary]
conseguenze negative e non desiderate di un evento.
[Rowe, William D. An Anatomy of Risk 1988]
Conseguenza dell’incertezza nel raggiungimento di un
obiettivo.
[ISO 19011:2011]
La combinazione della probabilità e delle
conseguenze del verificarsi di un particolare evento
pericoloso. Effetto dell’incertezza sugli obiettivi.
[BS OHSAS 18001:2007]
[ISO 31000, 2.1 ]
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

95
Gestione del rischio
ISO 31000
1. Identificazione dei Rischi (P)
2. Analisi dei Rischi (D)
3. Stima dei Rischi (C)
4. Trattamento dei Rischi (A)

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

96
Rischio
Effetto dell’incertezza.
[ISO 19011:2018]
▪ La ISO 19011 introduce il concetto associato all’attività di audit sui sistemi di gestione;
▪ L’approccio adottato riguarda sia il rischio che il processo di audit non raggiunga i
propri obiettivi, sia che l’audit interferisca con le attività dell’organizzazione oggetto
dell’audit;
▪ La norma non fornisce una guida specifica sul processo di gestione del rischio
dell’organizzazione ma riconosce che le organizzazioni possono focalizzare
l’attenzione su questioni di particolare rilievo per il sistema di gestione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

97
Risk based audit
▪ L'Organizzazione dovrà fornire evidenza di avere distribuito il "controllo" sui processi,

in proporzione e secondo le priorità imposte dal contesto e dalle condizioni della fase
temporale attraversata.
▪ La mancanza di tale evidenza potrebbe impedire l'attuazione di un audit significativo
"in campo" ed evidenziare una mancanza nella fase preliminare.
▪ Il piano di audit seguirà, quanto a tempi allocati e grado di approfondimento
dell'indagine, il profilo fornito da tale distribuzione delle priorità sui processi.
▪ L'audit potrebbe rilevare, in fase preliminare o dall'indagine in campo, che
l'individuazione delle priorità da parte dell'organizzazione non è adeguata,
evidenziando di conseguenza una mancanza.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

98
Risk based audit
Tratto da N. Gigante, "I QUADERNI DELLA QUALITA'" Ed. UNI - 2015-2016

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

99
Approccio per processi

▪ Per ottenere evidenze della coerenza fra la conformità di tipo puntuale e l'efficacia complessiva
del sistema di gestione il team dovrebbe partire dai processi, esaminarne i risultati e il modo in
cui tali risultati sono gestiti, dal punto di vista del loro perseguimento e da quello della gestione
del follow up (in termini di correzione, miglioramento, sviluppo, ecc.).
▪ Occorrerà anche verificare che i processi siano stati istituiti dall'organizzazione a partire da
obiettivi dell'organizzazione pertinenti alla qualità, a loro volta coerenti con la Politica per la
Qualità, e che il tutto tenga conto del contesto dell'organizzazione stessa.
▪ Identificare i rischi ai quali l’Organizzazione è esposta e i processi dove essi sono allocati.
▪ Lavorare in maniera sistemica e funzionare efficacemente.
▪ Visualizzare l’organizzazione.
▪ Definiree controllare gli obiettivi di business.
▪ Prendere decisioni sulla base di dati di fatto.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

100
Approccio per processi

PROCESSO: Insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

101
Schema di processo
SISTEMA PROCESSO ATTIVITA’

Insieme di elementi tra loro Insieme di attività correlate o Ciascuna attività dovrebbe
correlati o interagenti. interagenti che trasformano aggiungere valore.
elementi in entrata in elementi in
uscita.
COMPITI
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

102
Perché un audit per processi?

▪ Per identificare, gestire ed eliminare / ridurre i rischi.
▪ Per ottimizzare i processi, prendendo spunto dall’analisi del valore
aggiunto delle varie fasi che lo compongono.
▪ Per mettere in evidenza eventuali operazioni senza valore aggiunto.
▪ Per favorire il MIGLIORAMENTO CONTINUO.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

103
Dove e cosa guardare?
Fonti d’informazione Raccolta mediante

Evidenze dell’audit
campionamento
Risultanze dell’audit Valutazione a fronte dei

Riesame
criteri di audit
▪ Chiedere (attraverso l’ausilio di domande aperte);

Conclusioni dell’audit ▪ Osservare (che cosa succede nei reparti)
▪ Verificare (le dichiarazioni attraverso la documentazione)
▪ Registrare (quanto evidenziato)
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

104
Dove e cosa guardare?

Chiedere Registrare
▪ Intervistare il personale su quello che sta ▪ Prendere nota (nome della persona
facendo (come / con quali attrezzature / quali intervistata);
input-output etc…
▪ Prendere nota della documentazione
Osservare esaminata;
▪ Osservare le attività in corso e le condizioni
operative; ▪ Raccogliere le informazioni in modo tale da
▪ Osservare la manutenzione di impianti e dei essere collegate alle aree di
locali. attenzione(focus areas);
Verificare ▪ Prendere nota delle evidenze.
▪ Verificare la documentazione e registrazioni;

▪ Verificare eventuali documenti obsoleti;
▪ Verificare le affermazioni degli intervistati;
▪ Verificarei bisogni di formazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

105
La struttura delle domande?
APERTE
▪ Cosa? / Come?
PARTICOLARI
▪ Perché?
▪ É veroche..?
CHIUSE
▪ (conferma)
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

106
Le 5 domande
1. Qual è lo scopo per il quale si sta operando?
2. Come si opera per raggiungere l'obiettivo?
3. Come si può essere certi che si stia operando nel modo
giusto?
4. Come si può essere certi che si stia operando nel modo
migliore?
5. Come si può essere certi che si stia operando nella “giusta
direzione”?
Sono le 5 domande attraverso le quali si potrà stabilire se

l'organizzazione è in grado di raggiungere lo scopo per cui è
stata creata.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

107
Le 5 domande
A chi rivolgere le 5 domande
Le cinque domande-chiave dovrebbero essere rivolte ai diversi

livelli dell'organizzazione:
▪ Il livello dell'alta direzione, dove il focus è sulla strategia e

dove i risultati sono espressi in termini di soddisfacimento
della mission;
▪ Il livello dei responsabili dove il focus è sui Clienti e dove i
risultati sono espressi in termini di soddisfacimento dei
requisiti;
▪ Il livello degli operatori, dove la focalizzazione è sul lavoro, e
i risultati sono espressi in termini di prodotto consegnato.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

108
ALLEGATO A
L’allegato A della ISO 19011:2018 fornisce utili indicazioni per

condurre correttamente l’audit con riferimento ai nuovi requisiti
introdotti nelle norme dei sistemi di gestione dall’approccio HLS:
In particolare vengono affrontati:

▪ Audit del contesto;
▪ Audit della Leadership e dell’impegno;
▪ Audit dei rischi e delle opportunità.
ESERCIZIO 4
▪ Quali raccomandazioni dareste a un vostro collega più giovane
che vi segue in affiancamento?
▪ Quale tipo di domanda è più efficace in audit?
▪ Individualmente, leggete le diverse domande e barrate SI o No,
se ritenete che la domanda così formulata sia più o meno
corretta/efficace.
▪ In gruppo, discutete poi dei vantaggi/svantaggi delle diverse
tipologie di domande (chiuse, aperte, particolari) e provate a
riformulare quelle che secondo voi non sono corrette/efficaci.
▪ Condividete poi il risultato del vostro gruppo con il resto
dell’aula.
Tempo a disposizione:
▪ 5 minuti per il lavoro individuale;
▪ 15 minuti per il lavoro in gruppo;
▪ 10 minuti per la condivisione con l’aula.
La tecnica delle domande

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

110
Approccio all’audit
Un audit può essere eseguito utilizzando una gamma di metodi di audit scelti in funzione degli obiettivi, dell’estensione e dei criteri di
audit definiti, nonché della durata e della sede. La Tabella fornisce esempi di metodi di audit che possono essere utilizzati, singolarmente
o in combinazione. Se un audit prevede l'utilizzo di un gruppo di audit con più membri, è possibile utilizzare contemporaneamente sia i
metodi in loco che quelli remoti.
Svolte in qualsiasi luogo, ad eccezione
svolte nel sito dell’organizzazione
del sito dell’organizzazione oggetto di
oggetto di audit
audit, indipendentemente dalla distanza
Estensione del Localizzazione dell’auditor

coinvolgimento tra
auditor e organizzazione In campo A distanza
oggetto di audit
Interazione umana tra Condurre interviste. Mezzi di comunicazione interattiva:

personale Compilazione liste di controllo e questionari con la Condurre interviste
dell’organizzazione partecipazione dell’organizzazione oggetto dell’audit. Compilazione check list e questionari
oggetto di audit e il Condurre il riesame dei documenti con la partecipazione Condurre riesame dei documenti con la partecipazione
gruppo di audit dell’organizzazione oggetto dell’audit. Campionamento. dell’organizzazione oggetto dell’audit.
Nessuna interazione Condurre riesame dei documenti (registrazioni, analisi dei Condurre il riesame dei documenti (registrazioni, analisi
umana. Interazione con dati) dati).
apparecchiature, mezzi e Osservazione del lavoro svolto. Osservazione del lavoro svolto tramite mezzi di
documentazione Condurre la visita in campo. sorveglianza, tenendo conto dei requisiti sociali e legali
Compilazione di check list Analisi dei dati
Campionamento (es. prodotti)
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

111
Approccio all’audit
Tipologie di Audit:
▪ Audit verticale;
▪ Audit casuale;
▪ Audit orizzontale.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

112
Audit verticale
Qui l’auditor seleziona un particolare progetto o contratto e ne registra gli sviluppi, visitando, i reparti e
le aree che sono stati rilevanti per il progetto stesso.
Esistono due suddivisioni di questo metodo:
▪ Audit in avanti: consiste in un tecnica di audit che segue il prodotto dalla sua origine (solitamente
la revisione del contratto) fino alla spedizione finale e, se possibile, all’installazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

113
Audit verticale
▪ Audit a ritroso: percorre la strada a ritroso e controlla il prodotto che sia stato rispedito, attraverso
il sistema, alla sua origine.
▪ Gli audit verticali assicurano che il sistema sia stato fatto funzionare prima dell’audit e risultano
particolarmente adatti per esaminare le interfacce tra processi /reparti /aree diverse.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

114
Audit casuale
È esattamente ciò che il nome implica.
Vengono presi dei campioni casuali da differenti aree del sistema e su questi viene condotto un audit
“in avanti / a ritroso".
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

115
Audit orizzontale
▪ Secondo questo approccio l’auditor lavora metodicamente attraverso una check-list, affrontando
un argomento alla volta.
▪ Ciascun elemento del sistema di gestione della qualità viene esaminato considerando l’intero
processo/reparto/area prima di procedere con la domanda successiva.
▪ In questo modo l’auditor utilizza un approccio ampio o globale.
▪ Questo metodo dà all’audit una copertura totale, ma comporta un elevato dispendio di tempo e,
in alcune situazioni, è impraticabile.
FORNITORI RISORSE UMANE PRODUZIONE VENDITE

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

116
Quale metodo?
Non ci sono regole rigide per la scelta della tecnica più appropriata.
▪ L’audit orizzontale è usato principalmente da auditor interni. L'intero

sistema è valutato su un specifico periodo di tempo. Questa tecnica di
solito adotta anche un approccio casuale/probabilistico sui prodotti o i
servizi esaminati.
▪ Gli audit “in avanti” e “a ritroso” sono applicati a tutti i processi. Sono
le tecniche di solito usate dagl iAuditor di terza parte. Si possono
infatti concentrare su prodotti specifici o servizi ma anche più
facilmente su prodotti verificati su base random.
▪ L’audit verticale è spesso usato anche da auditor di seconda parte che
sono principalmente interessati a controlli applicati sui prodotti che la
loro società sta acquistando.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

117
ALLEGATO A
L’allegato A riporta una guida per gli auditor per la pianificazione e la conduzione di un audit (metodi
di conduzione di un audit).
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

118
ALLEGATO A
▪ La scelta della metodologia, in fase di pianificazione, spetta a chi
gestisce il programma di audit o al responsabile del Gruppo di
Audit (in fase di conduzione).
▪ La fattibilità di un audit a distanza dipende da diversi fattori,
quali:
➢ Livello di rischio nel raggiungimento degli obiettivi dell’audit;
➢ Livello di fiducia tra il Gruppo di verifica e l’organizzazione
oggetto dell’audit;
➢ Requisiti regolamentari.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

119
Campionamento
Il campionamento relativo all’audit avviene quando non è pratico o conveniente esaminare
tutte le informazioni disponibili durante un audit, ad es. le registrazioni sono troppo numerose o
dislocate geograficamente per giustificare l'esame di ogni elemento.
Il rischio associato al campionamento è che i campioni potrebbero non essere rappresentativi

della popolazione dalla quale sono selezionati.
Pertanto, le conclusioni dell’auditor possono essere parziali e diverse da quella che verrebbero
raggiunte se l'intera popolazione fosse esaminata.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

120
Campionamento
Il campionamento dell'audit prevede, tipicamente, le seguenti fasi:
a) stabilire gli obiettivi del campionamento;

b) selezionare l'estensione e la composizione della popolazione da sottoporre a
campionamento;
c) selezionare un metodo di campionamento;
d) determinare la dimensione del campione da prelevare;
e) svolgimento dell'attività di campionamento;
f) compilazione, valutazione, comunicazione e documentazione dei risultati.
L'audit può utilizzare il campionamento basato sul giudizio o il campionamento statistico.

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

121
Campionamento basato sul giudizio

Il campionamento basato sul giudizio si basa sulla competenza e sull'esperienza del gruppo di
audit.
a) esperienza di audit precedente nell'ambito dell'audit di audit;

b) complessità dei requisiti (requisiti legali e regolamentari) per raggiungere gli obiettivi
dell'audit;
c) complessità e interazione dei processi dell'organizzazione e degli elementi del sistema di
gestione;
d) grado di evoluzione della tecnologia, del fattore umano o del sistema di gestione;
e) rischi e opportunità di miglioramento significativi precedentemente identificati;
f) output del monitoraggio dei sistemi di gestione.
Uno svantaggio del campionamento basato sul giudizio è che non può esserci alcuna stima
statistica dell'effetto dell'incertezza nei risultati dell'audit e delle conclusioni raggiunte.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

122
Campionamento
Campionamento statistico basato su giudizio o scelta ragionata. Tale metodo si basa sulla
conoscenza, le abilità e l'esperienza dell'audit team. Per il campionamento basato su tale
approccio, può essere considerato quanto segue:
a) Esperienza di audit precedenti nell'ambito dello scopo;

b) Complessità dei requisiti (inclusi requisiti legali) per realizzare gli obiettivi dell'audit;
c) Complessità e interazione dei processi dell'organizzazione ed degli elementi del
sistema di gestione;
d) Grado di evoluazione della tecnologia, fattore umano o sistema di gestione;
e) Rischi significativi e aree di miglioramento identificate precedentemente;
f) output dal monitoraggio dei sistemi di gestione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

123
Campionamento
Un inconveniente al campionamento basato su giudizio è che non ci può essere alcuna stima
statistica dell'effetto di incertezza nelle conclusioni di audit e le conclusioni raggiunte.
▪ Quando si è sviluppato un piano di campionamento statistico, il livello di rischio che

l'auditor è disposto ad accettare è una considerazione importante. Questo è spesso definito
come il livello di fiducia accettabile.
▪ Ad esempio, un rischio di campionamento del 5% corrisponde ad un livello accettabile di
fiducia accettabile del 95%.
▪ Un rischio di campionamento del 5% significa chel’auditor è disposto ad accettare il rischio
che 5 su 100 dei campioni esaminati non riflettano i valori effettivi che si sarebbero
osservati se fosse stata esaminata l’intera popolazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

124
E’ un campione corretto?
Non sono
d’accordo
IL SONDAGGIO ALLA MENSA
Sono
d’accordo
In un sondaggio all'interno
di una piccola azienda con 150 impiegati si
vuole studiare la valutazione attribuita alla
qualità della mensa.
A questo scopo si decide di esaminare un

campione composto da 15 persone.
Per motivi di convenienza, si intervistano le

prime 15 persone che si presentano in sala
mensa.
É un campione corretto?
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

125
E’ un campione corretto?
IL SONDAGGIO ALLA MENSA
▪ Questo criterio é molto pratico, in quanto

non bisogna attendere l'arrivo di tutti i
dipendenti.
▪ Tuttavia, i dipendenti meno "affamati" o
quelli che preferiscono una pausa pranzo
più tarda non entreranno a far parte del
campione.
▪ Questo campione è dunque viziato da un
errore sistematico.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP

126
Cosa vuol dire campionamento?
Campionamento significa scegliere un campione da una popolazione.
Il principale obiettivo di un campionamento è quello di raccogliere dati che

consentiranno di generalizzare, con un certo grado di certezza, all'intera popolazione
le conclusioni ottenute dal campione (una parte del fenomeno).
Questo processo di generalizzazione è detto inferenza.
Scavando fra le tante leggi di Murphy, si può trovare il Postulato di Pirsig che
esprime lapidariamente e con magistrale ironia l'utilità dell'inferenza:
I dati senza generalizzazione sono solo pettegolezzi!
Il campionamento di audit
- RACCOMANDAZIONI

ESERCIZIO 5
▪ Vi è stato chiesto di redigere un programma per avviare le

attività di audit da effettuare nell’arco dei prossimi treanni
(audit a fornitori o audit di terza parte).
▪ Quali sono i criteri in base ai quali dimensionare il

campione?
▪ Lavorate in gruppo
Il campionamento in pianificazione
Conclusione di audit

7 CONCLUSIONE DI AUDIT
- RACCOMANDAZIONI

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
131
Rapporto di audit
PUNTI DI FORZA RIUNIONE DI CHIUSURA

3
REGISTRAZIONE / CATEGORIZZAZIONE RILIEVI RAPPORTO RACCOMANDAZIONI

▪ Formalizzazione NC / OSS
▪ Categorizzazione NC / OSS
SPIEGAZIONE RILIEVI
TEMPISTICA PER LE AZIONI CORRETTIVE
▪ Spiegazione NC / OSS
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
132
▪ Qual è l’output di un audit?

▪ Quali sono le fonti dei requisiti?
▪ Come si elaborano le risultanze dell’audit?
▪ Qual è l’obiettivo di una riunione di chiusura?
▪ Qual è l’obiettivo di azioni successive all’audit?
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
133
Qual è l’output di un audit?
RISCHI
PUNTI DI FORZA
AUDIT
OPPORTUNITÀ
DEBOLEZZE
MANCANZE
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
134
Risultanze dell’audit
Possono essere espresse come:
PUNTI DI FORZA OSSERVAZIONI NON CONFORMITA’

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
135
NON CONFORMITA’
Una non conformità è un mancato soddisfacimento di un requisito (ISO 9000:2005, punto 3.6.2).
REQUISITO
MANCANZA
EVIDENZA
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
136
Requisito
Esigenza o aspettativa che può essere espressa, generalmente implicita o cogente.

Nota 1: "Generalmente implicita« significa che è uso o prassi comune, per l’organizzazione (3.3.1), per i suoi
clienti (3.3.5) e per le altre parti interessate (3.3.7), che l’esigenza o l’aspettativa in esame sia implicita.
ISO 9000:2005
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
137
Mancanza
Disallineamento rispetto al requisito.

PANE TROPPO COTTO
PASTA SCOTTA / TROPPO AL DENTE
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
138
Evidenza oggettiva
Dati che supportano l’esistenza o la veridicità di qualcosa.

Nota1: L’evidenza oggettiva può essere ottenuta mediante osservazioni, misurazioni, prove o altri mezzi;
Nota2: L’evidenza oggettiva ai fini dell’audit consiste generalmente in registrazioni, dichiarazioni di fatti o
altre informazioni che sono pertinenti ai criteri dell’audit e verificabili.
AMMISSIONE / OSSERVAZIONE / REGISTRAZIONE

Credi a un’ammissione, verifica un’affermazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
139
Requisito / Mancanza / Evidenza

▪ Se non vi è un requisito, non possiamo formulare una non conformità; il requisito deve
essere indicato nella nota di non conformità.
▪ Se non vi è una mancanza non possiamo formulare una non conformità; la mancanza deve
essere indicata nella nota di non conformità.
▪ Se non vi è un’evidenza oggettiva, non possiamo formulare una nota di non conformità;
l’evidenza oggettiva (la “prova”) deve essere indicata nella nota di non conformità.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
140
Rapporto di non conformità

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
141
Cos’è una osservazione?
01 POTENZIALE PROBLEMA
A Mancanza di applicazione delle

Best Practice
02 RISCHIO
B Incomprensione
03 INEFFICIENZA
C Mancanza di comunicazione
04 INEFFICACIA
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
142
Cos’è un punto di forza?
01 ADOZIONE DELLE BEST PRACTICE
02 MIGLIORAMENTO DIMOSTRATO
03 FORTE IMPEGNO
04 MOTIVAZIONE
05 OTTIMIZZAZIONE DEL SISTEMA

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
143
Elaborazione delle risultanze dell’audit

▪ Classificare le risultanze:
– Punti di forza
– Osservazioni
– Non conformità
▪ Condividere la classificazione;
▪ Registrare le NC e le relative evidenze;
▪ Preparare raccomandazioni (se applicabile);
▪ Riesaminare le NC con l’organizzazione;
▪ Concordare con l’organizzazione le conclusioni dell’audit;
▪ Risolvere eventuali divergenze;
▪ Registrare divergenze non risolte.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
144
La chiusura dell’audit
▪ Emissione del rapporto di audit nei tempi concordati;
▪ Riesame del rapporto di audit;
▪ Distribuzione del rapporto di audit;
▪ Garanzia della riservatezza di rapporto / risultati;
▪ Modalità di conservazione dei documenti riguardanti l’audit;
▪ Definizione del piano delle AC (se applicabile);
▪ Verifica di completamento ed efficacia delle AC (se applicabile).
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
145
La preparazione del rapporto di audit

RESPONSABILITA’
▪ Responsabile del gruppo di verifica (Lead Auditor).
SCOPO
▪ Fornire una chiara e completa registrazione dell’audit
CONTENUTI
▪ Obiettivi dell’audit;
▪ Campo di applicazione, identificazione unità organizzative, processi;
▪ Identificazione del responsabile e membri del gruppo di audit;
▪ Registrazione delle attività svolte;
▪ Criteri, risultanze e conclusioni dell’audit;
▪ Elenco del personale contattato;
▪ Eventuali ostacoli, divergenze non risolte;
▪ Raccomandazioni per il miglioramento (se applicabile);
▪ Dichiarazione di riservatezza (audit II e III parte);
▪ Lista di distribuzione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
146
Cosa non includere

▪ Controversie e polemiche interne;
▪ Elementi estranei allo scopo dell’audit;
▪ Elementi non menzionati o discussi durante l’audit;
▪ Valutazioni di carattere tecnico.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
147
Distribuzione
▪ Direzione (audit di II e III parte);
▪ Responsabile processo (audit di I parte);
▪ Responsabile del programma di audit.
ESERCIZIO 6
▪ A coppie, analizzate un caso tra quelli riportati, compilate le

parti relative al requisito, alla mancanza, all’evidenza e
all’azione correttiva.
▪ Confrontatevi poi in plenaria (dopo aver consegnato)
Tempo a disposizione: 30 minuti per l’analisi (15 minuti per la

restituzione).
Il campionamento in pianificazione
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
149
La riunione di chiusura
▪ Qual è l’obiettivo di una riunione di chiusura?
▪ Chi dovrebbe partecipare a una riunione di chiusura?
▪ Qual è il ruolo di un lead auditor durante la riunione di chiusura?
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
150
Chi dovrebbe partecipare a una riunione di chiusura?
▪ Direzione (audit II e III parte)
▪ Responsabili dei processi o funzioni soggette ad audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
151
Qual è il ruolo di un lead auditor durante la riunione di
chiusura?
▪ Conduzione dell’incontro
▪ Presentazione delle risultanze e delle conclusioni di
audit:
– Conformità rispetto ai criteri dell’audit;
– Robustezza del Sistema;
– Identificazione dei rischi ed efficacia delle azioni di
mitigazione intraprese;
▪ Presentazione di raccomandazioni (se applicabile);
▪ Discussione di eventuali divergenze su risultanze /
conclusioni
▪ Ringraziamenti.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
152
Riassumendo… la riunione di chiusura:
Presieduta dal lead auditor Presentazione chiara delle Collegamento dei rilievi con gli
risultanze dell’audit obiettivi aziendali e
focalizzazione sui punti a
maggiore rischio
153
- RACCOMANDAZIONI

Corso
Corso 19011:2018 Linee guida per gli audit Auditor/Lead
di gestione ACM Cert S.r.l.
154
Azioni successive all’audit
VERIFICA IMPLEMENTAZIONE AZIONI CORRETTIVE 4 CHIUSURA RILIEVI AUDIT PRECEDENTE
FOLLOW UP
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
155
Cos’è un follow up?

▪ Qual è l’obiettivo di un follow up?
▪ Cos’è necessario considerare quando si pianifica un’attività di follow-up?
▪ Cosa cerchiamo?
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
156
Azioni successive all’audit per…
▪ Verificare l’implementazione e l’efficacia delle azioni correttive.

▪ Assicurarsi che l’attenzione non sia posta solo sull’immediato problema,
ma sulla causa di base
Non Conformità
REQUISITO
MANCANZA
EVIDENZA
Le competenzedell’auditor

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
8 LE COMPETENZE DELL’AUDITOR
158
Quali competenze?
▪ Quali sono le competenze di un auditor?
▪ Quali sono i requisiti indicati dalla ISO19011:2018 e dalla ISO / IEC 17021-
1:2015?
Nota 1: Diversi schemi per la qualifica dell’auditor fanno riferimento ad altre norme / documenti (MD)
aggiuntivi alle ISO / IEC ISO 17021-1:2015 ad esempio la 27006 per la qualifica auditor nella schema ISO
27001 (Information Security); ISO 22003 per la qualifica auditor nella schema ISO 22000 (Food Safety), la
MD 9 per la qualifica auditor nella schema ISO 13485 (Medical Devices) ecc…
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
159
Competenza e valutazione degli auditor – ISO 19011

▪ La linea guida ISO 19011:2018 fornisce indicazioni per
definire le conoscenze e le abilità necessarie agli
Auditor per assicurare che il processo di Audit
raggiunga i risultati attesi.
▪ Alcune delle conoscenze e competenze previste sono
comuni per gli auditor indipendentemente dal sistema
di gestione nei quali essi devono operare; altre sono
invece specifiche per singolo sistema di gestione
(qualità, ambiente, sicurezza……).
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
160

Il processo di valutazione deve includere quattro fasi principali
▪ Determinare la competenza del personale di audit per
soddisfare le esigenze del programma di audit;
▪ Stabilire i criteri di valutazione;
▪ Selezionare il metodo di valutazione appropriato;
▪ Condurre la valutazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
161

Caratteristiche personali
Conoscenze e abilità
– Di carattere generale;
– Specifiche della disciplina e del settore;
– Generali per il responsabile del gruppo di audit;
– Per le attività di audit riguardanti più discipline.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
162

Caratteristiche personali
▪ Un auditor dovrebbe essere in possesso di qualità che
permetta di agire in accordo ai principi dell’attività di Audit;
▪ L’auditor dovrebbe essere:
– rispettoso dei principi etici;
– di mentalità aperta;
– diplomatico;
– dotato di spirito di osservazione;
– perspicace;
– versatile;
– tenace / perseverante;
– risoluto / decisivo;
– sicuro di sé;
– attento e rispettoso della cultura degli interlocutori;
– collaborativo.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
163

Conoscenze ed abilità
▪ Gli auditor dovrebbero possedere le conoscenze e le abilità necessarie
per conseguire i risultati previsti dagli audit che si ci attende che essi
eseguano;
▪ Gli auditor dovrebbero avere conoscenze e abilità nelle aree:
a) Principi, procedure e metodi di audit;
b) Sistema di gestione e documenti di riferimento;
c) Contesto organizzativo;
d) Requisiti legali e contrattuali ed altri requisiti applicabili
all’organizzazione verificata.
▪ Inoltre, gli auditor dovrebbero avere conoscenze e abilità per discipline
e settori specifici del sistema di gestione.
▪ L’Appendice A della ISO 19011 fornisce informazioni di conoscenze e
abilità nei vari sistemi di gestione (qualità, ambiente, salute e sicurezza
degli ambienti di lavoro, etc…).
▪ Il team leader dovrebbe avere ulteriori conoscenze e abilità necessarie
per gestire e fornire leadership al gruppo di audit, al fine di agevolare
uno svolgimento efficiente ed efficace dell'audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
164

Competenze auditor
L’auditor può acquisire conoscenze e abilità utilizzando una combinazione dei
seguenti fattori:
▪ Istruzione / addestramento formali ed esperienza che contribuiscono allo
sviluppo di conoscenze e abilità nella disciplina e nel settore del sistema di
gestione in cui l'auditor intende effettuare audit;
▪ Programmi di formazione che includono conoscenze e abilità di carattere
generale dell’auditor;
▪ Esperienza in una posizione tecnica, gestionale o professionale che comporta
la formulazione di giudizi, il prendere decisioni, la soluzione di problemi e la
comunicazione verso manager, professionisti, colleghi, clienti e altre parti
interessate;
▪ Esperienza di audit acquisita sotto la supervisione di un auditor nella stessa
disciplina.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
165

Lead Auditor
▪ Un Responsabile gruppo di audit (Lead Auditor) dovrebbe aver acquisito
esperienza di audit aggiuntivi per sviluppare le conoscenze e le abilità
necessarie;
▪ Questa ulteriore esperienza dovrebbe essere stata conseguita lavorando
sotto la direzione e la guida di un altro responsabile di gruppo di audit.
Criteri di valutazione degli auditor

▪ Qualitativi, quali aver dimostrato, durante l’addestramento o durante le
attività, il comportamento personale, la conoscenza o la messa in pratica
delle abilità.
▪ Quantitativi, quali gli anni di esperienza di lavoro e l'istruzione, il numero di
audit condotti, le ore di formazione di audit ecc…
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
166
Metodi di valutazione degli auditor (7.3 e 7.4)
Metodo di valutazione Obiettivi Esempi

Riesame delle Registrazioni Verificare il bagaglio professionale dell’auditor. Analisi delle registrazioni attestanti l’istruzione, la
formazione / addestramento, l’attività lavorativa, le
credenziali professionali e l’esperienza di audit.
Informazioni di ritorno Fornire informazioni su come vengono percepite le Indagini, questionari, referenze personali,
prestazioni dell’auditor. testimonianze, reclami, valutazione delle prestazioni,
riesame da parte di pari.
Intervista Valutare il comportamento personale e le capacità Interviste personali.
di comunicare, verificare le informazioni ed
esaminare le conoscenze e acquisire ulteriori
informazioni.
Osservazione Valutare il comportamento personale e le capacità Simulazioni di ruolo, audit in accompagnamento,
di applicare conoscenze e abilità. prestazioni sul lavoro.
Esame Valutare il comportamento personale e le Esami orali e scritti, esami psicometrici.
conoscenze e le abilità e la loro applicazione.
Riesame successivo all’audit Fornire informazioni sulle prestazioni dell’auditor Riesame del rapporto di audit, interviste con il
durante le attività di audit, identificare punti di forza responsabile del gruppo di audit, con il gruppo di
e debolezza. audit e, se appropriato, informazioni di ritorno dal
parte dell’organizzazione oggetto dell’audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
167

Conduzione della valutazione dell’auditor
▪ Le informazioni raccolte sul personale dovrebbero essere confrontate con i
criteri definiti per le conoscenze e abilità.
▪ Quando una persona che debba partecipare al programma di audit non
soddisfa i criteri, dovrebbe essere intrapresa un ulteriore formazione, teorica
e on the job, e dovrebbe essere eseguita una conseguente rivalutazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
168

Mantenimento e miglioramento della competenza dell’auditor
▪ L’auditor e il team leader dovrebbero migliorare continuamente la loro
competenza attraverso la partecipazione continua agli audit dei sistemi di
gestione e dallo sviluppo professionale.
▪ Lo sviluppo professionale continuo comporta il mantenimento e il
miglioramento delle competenze attraverso ulteriore esperienza di lavoro,
formazione-addestramento, studio personale, coaching, partecipazione a
riunioni, seminari e conferenze o altro.
▪ La persona che gestisce il programma di audit dovrebbe stabilire
meccanismi adeguati per la valutazione continua degli auditor e dei team
leader.
▪ Per la competenza degli auditor di terza parte è necessario prendere in
considerazione i requisiti della ISO / IEC 17021-1:2015.
▪ Questa norma contiene i principi ed i requisiti per la competenza, la
coerenza e l’imparzialità dell’audit e della certificazione dei sistemi di
gestione di tutti i tipi e per gli organismi che forniscono queste attività.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
169
Competenza e valutazione degli auditor – ISO 17021-1

Per rilasciare una certificazione che trasmetta fiducia è necessaria la
competenza del personale coinvolto nel processo di certificazione che non deve
essere limitata solo a quella dell’auditor.
L’Organismo di Certificazione(OdC) deve avere un processo documentato per:
▪ Determinare i criteri di competenza per il personale coinvolto nella
gestione ed esecuzione dell’audit e della certificazione. I criteri di
competenza devono essere determinati con riferimento ai requisiti di ogni
tipo di norma di sistema di gestione, per ogni area tecnica e per ogni
funzione nel processo di certificazione (Appendice A della ISO 17021-
1:2015).
▪ La valutazione della competenza iniziale e il monitoraggio della
competenza nel tempo e delle prestazioni di tutto il personale coinvolto
nella gestione e prestazione degli audit e della certificazione (Appendice B
della ISO 17021-1:2015).
▪ Inoltre, la ISO 17021-1:2015 Fornisce un esempio (schema di flusso) per
determinare e mantenere la competenza in ottica PDCA (Appendice C);
▪ Descrive le caratteristiche personali delle figure coinvolte nel processo di
certificazione (Appendice D), sostanzialmente analoghe a quelle descritte al
par. 7.2.2 della ISO 19011.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
170

L’Appendice A della ISO 17021-1:2015 specifica le conoscenze e le abilità che un
Organismo di Certificazione deve definire per le diverse funzioni coinvolte
nell’attività di Audit, suddivise in personale che:
L’Organismo di Certificazione(OdC) deve avere un processo documentato per:
▪ Esegue il riesame della domanda per determinare le competenze richieste,
seleziona i membri del gruppo di audit e ne definisce la durata;
▪ Riesamina i rapporti di audit e decide sulla certificazione;
▪ Conduce l’audit (Auditor);
▪ Conduce l’audit e gestisce il gruppo di audit (Lead Auditor).
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
171
Requisiti Competenza ISO/IEC TS 17021-3:2017

ISO 9001
RIESAME DOMANDA
RIESAME DOCUMENTI
COMPETENZE TABELLA A) REQUISITI COMPETENZA ISO/IEC TS 17021-3:2017 (DETERMINAZIONE GA E GRUPPO AUDIT
AUDIT-CdC
TEMPI AUDIT)
CONCETTI FONDAMENTALI E PRINCIPI DI GESTIONE DELLA QUALITÀ (5.2-6.2)
a) Concetti fondamentali e principi di gestione della qualità e loro applicazione X X X
b) Termini e definizioni relativi alla gestione della qualità X X X

CONOSCENZA DI NORME/DOCUMENTI c) Approccio per processi e relativo monitoraggio e misurazione X X X
NORMATIVI, TERMINOLOGIA, PRINCIPI, d) Ruolo della Leadership nell’organizzazione e suo impatto sul SGQ X
PRASSI E TECNICHE RELATIVI A e) Applicazione del Risk Based Thinking e individuazione di rischi e opportunità X X X
SPECIFICI DI SISTEMI DI GESTIONE f) Applicazione del ciclo PDCA X
g) Struttura e interrelazioni delle informazioni documentate specifiche per SGQ X
h) Strumenti, metodi e tecniche dei SGQ e loro applicazione X

i) Scopi e loro applicabilità al SGQ di un’organizzazione X X
CONOSCENZA DEL SETTORE DI BUSINESS CONTESTO DELL’ORGANIZZAZIONE (5.3)

a) Capacità di individuare i fattori esterni e interni, significativi per lo scopo e strategia dell’organizzazione e che influiscono
DEL CLIENTE E DELLE PRASSI DI X X X
sulla sua capacità di raggiungere i risultati previsti del SGQ
GESTIONE DELLE IMPRESE E DEI CAMPI b) Capacità di individuare bisogni e aspettative delle parti interessate rilevanti per il SGQ dell’organizzazione, inclusi requisiti
X X x
DISCIPLINARI INTERAGENTI/CORRELATI per i suoi prodotti e servizi
CON L'ATTIVITÀ c) Confini e applicabilità del SGQ per stabilirne lo scopo X X x

PRODOTTI, PROCESSI ED ORGANIZZAZIONE DEL CLIENTE (5.4)
a) Terminologia e tecnologia specifica per l’area tecnica X X
b) Requisiti legislativi e regolamentari, specifici per l’area tecnica, applicabili al prodotto/servizio (compresi requisiti legali) X X
CONOSCENZA DEI PRODOTTI, DEI
c) Caratteristiche dei processi, prodotti e servizi specifici dell’area tecnica X X
PROCESSI E DELL'ORGANIZZA-ZIONE
d) Caratteristiche delle infrastrutture e dell’ambiente di lavoro aventi influenza sul prodotto/servizio X X
DEL CLIENTE
e) Processi, prodotti e servizi forniti dall'esterno X X
f) Impatto del tipo, dimensione, amministrazione, struttura, funzioni e relazioni dell’Organizzazione sullo sviluppo e
X x
implementazione del SGQ e delle attività di certificazione
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
172
Specifiche tecniche ISO / IEC 17021

Inoltre, per i requisiti competenza degli auditor di III parte:
ISO/IEC TS 17021-2: Conformity assessment – Requirements for bodies providing audit and certification of management systems
– Part 2: Competence requirements for auditing and certification of environmental management systems.
– Part 3: Competence requirements for auditing and certification of quality management systems.
– Part 4: Competence requirements for auditing and certification of event sustainability management systems.
– Part 5: Competence requirements for auditing and certification of asset management systems.
– Part 6: Competence requirements for auditing and certification of business continuity management systems.
– Part 2: Competence requirements for auditing and certification of road traffic safety management systems.
– Part 8: Competence requirements for auditing and certification of sustainable development in communities.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
173
Specifiche tecniche ISO / IEC 17021

– Part 9: Competence requirements for auditing and certification of anti-bribery management systems.
– Part 10: Competence requirements for auditing and certification of occupational health and safety management systems.
……..
ISO/IEC 27006; ISO/IEC 22003; ISO/IEC 50003 ecc….

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
174

La competenza del personale non è più legata solo al settore EA ma
all’Area Tecnica:
▪ Come Area Tecnica si definisce un’area caratterizzata da aspetti
comuni di processi relativi ad uno specifico sistema di gestione.
▪ Più ampia è quest’area e maggiore deve essere la competenza
dimostrata.
▪ La definizione dell’area tecnica potrebbe cambiare da Stato a Stato.
Nella definizione delle aree tecniche occorre considerare anche una

serie di fattori specifici connaturati al sistema di gestione in
considerazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
175

Appendice B della ISO 17021-1:2015 fornisce esempi di metodi per
valutare la competenza raggruppati in cinque principali categorie:
▪ Riesame delle registrazioni;
▪ Informazioni di ritorno (feedback);
▪ Interviste (post audit review);
▪ Osservazioni (osservare la persona);
▪ Esami (role playing, case study, stress simulation, on the job
situations).
Apendice A

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
177
Audit di conformità (compliance)

Nel valutare i processi attuati dall'organizzazione oggetto dell'audit per assicurare la conformità
(compliance) ai requisiti pertinenti, il gruppo di audit dovrebbe considerare se l'organizzazione oggetto
dell'audit:
a) adotta un processo efficace per identificare le modifiche nei requisiti di conformità (compliance) e
per considerarle come parte della gestione del cambiamento;
b) dispone di persone competenti per la gestione dei propri processi di conformità (compliance);
c) mantiene e fornisce informazioni documentate appropriate sul proprio stato di conformità

(compliance), come richiesto dalle autorità in ambito legislativo o altre parti interessate;
d) include i requisiti di conformità (compliance) nel proprio programma di audit interno;
e) tratta gli eventuali casi di non conformità (non-compliance);
f) prende in considerazione le prestazioni di conformità (compliance) nei propri riesami di direzione.

Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
178
Audit del contesto

Molte norme di sistemi di gestione richiedono che un'organizzazione determini il proprio contesto, comprese
le esigenze e aspettative delle parti interessate rilevanti ed i fattori esterni e interni. A tale scopo,
un'organizzazione può utilizzare varie tecniche per l'analisi strategica e la pianificazione.
Gli auditor dovrebbero confermare che sono stati sviluppati processi adeguati allo scopo e che essi sono
utilizzati in modo efficace.
Allo scopo, gli auditor dovrebbero considerare le evidenze oggettive relative a quanto segue:
a) il processo(i) o il metodo(i) utilizzato(i);
b) l'adeguatezza e la competenza delle persone che contribuiscono al(i) processo(i);
c) i risultati del(i) processo(i);
d) l'applicazione dei risultati per determinare il campo di applicazione e lo sviluppo del sistema di gestione;
e) i riesami periodici del contesto, per quanto appropriato.
Gli auditor dovrebbero possedere una conoscenza specifica del settore e dovrebbero comprendere gli
strumenti di gestione che le organizzazioni possono utilizzare per giudicare l'efficacia dei processi utilizzati per
determinare il contesto.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
179
Audit della leadership e dell'impegno

Molte norme di sistemi di gestione presentano un maggior numero di requisiti per l'alta direzione.
Tali requisiti comprendono la dimostrazione dell'impegno e della leadership, attraverso l'assunzione di responsabilità
rispetto all'efficacia del sistema di gestione e all’adempimento di una serie di incarichi.
Quest'ultimi prevedono compiti che l'alta direzione dovrebbe intraprendere in prima persona e altri che possono
essere delegati.
Gli auditor dovrebbero ottenere evidenze oggettive circa il grado di coinvolgimento dell'alta direzione nel processo
decisionale riguardante il sistema di gestione e di come la stessa dimostra il proprio impegno nell'assicurarne
l'efficacia.
Questo può essere raggiunto effettuando il riesame dei risultati dei processi pertinenti (per esempio, politiche,
obiettivi, risorse disponibili, comunicazioni dall'alta direzione) e intervistando il personale per determinare il grado di
effettivo coinvolgimento dell'alta direzione.
Gli auditor dovrebbero inoltre mirare a intervistare l'alta direzione per confermare che essa abbia un'adeguata
comprensione degli elementi specifici della disciplina pertinenti al proprio sistema di gestione, insieme al contesto in
cui opera l'organizzazione, per poter assicurare che il sistema di gestione consegua i risultati attesi.
Gli auditor non dovrebbero concentrarsi solo sulla leadership a livello dell'alta direzione, ma sottoporre ad audit
anche la leadership e l'impegno degli altri livelli gestionali, per quanto appropriato.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
180
Audit dei rischi e opportunità

L'audit dell'approccio di una organizzazione alla determinazione dei rischi e opportunità non dovrebbe essere
condotto come attività a sé stante, ma dovrebbe essere implicito nell'intero corso dell'audit di un sistema di gestione,
comprese le interviste con l'alta direzione. Un auditor dovrebbe comportarsi in conformità alle seguenti fasi e
raccogliere evidenze oggettive quali:
a) gli input utilizzati dall'organizzazione nella determinazione dei rischi e opportunità, tra cui:
▪ l'analisi dei fattori esterni e interni;
▪ gli indirizzi strategici dell'organizzazione;
▪ le parti interessate, relative al sistema di gestione specifico (di una disciplina) ed i loro requisiti;
▪ le potenziali fonti di rischio, per esempio gli aspetti ambientali, i pericoli in materia di sicurezza sul lavoro, ecc.
b) il metodo di valutazione dei rischi e opportunità, che può variare tra le discipline e settori.
c) Il trattamento dei rischi e opportunità da parte di un'organizzazione, compreso il livello di rischio che essa è
disposta ad accettare e il modo in cui lo tiene sotto controllo, richiede l'applicazione di un giudizio professionale da
parte dell'auditor.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
181
Audit Ciclo di Vita

Nella prospettiva del ciclo di vita si considerano il controllo e l'influenza che un'organizzazione ha sulle fasi del ciclo di
vita dei propri prodotti e servizi. Le fasi in un ciclo di vita prevedono l'acquisizione di materie prime, la progettazione,
la produzione, il trasporto/distribuzione, l'utilizzo, il trattamento a fine vita e lo smaltimento finale.
Questo approccio permette all'organizzazione di identificare quelle aree che, nel considerare il campo di applicazione,
possono ridurre al minimo l'impatto dell'organizzazione sull'ambiente, attribuendo valore aggiunto all'organizzazione
stessa.
L'auditor dovrebbe utilizzare il proprio giudizio professionale nel valutare in che modo l'organizzazione ha applicato
una prospettiva del ciclo di vita in termini di strategia e di:
a) vita utile del prodotto o servizio;
b) influenza dell'organizzazione sulla catena di fornitura;
c) lunghezza della catena di fornitura;
d) complessità tecnologica del prodotto.
Se, allo scopo di soddisfare le proprie esigenze, un'organizzazione ha integrato diversi sistemi di gestione in un unico
sistema di gestione, l'auditor dovrebbe esaminare attentamente le possibili sovrapposizioni.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
182
Audit della Catena di Fornitura

Può essere richiesto un audit della catena di fornitura rispetto a requisiti specifici. Il programma di audit dei fornitori
dovrebbe essere sviluppato con criteri di audit applicabili per il tipo di fornitori
Il campo di applicazione di un audit della catena di fornitura può variare, per esempio un audit di sistema di gestione
completo, un audit di un singolo processo, un audit di prodotto.
Quando si preparano i documenti di lavoro di revisione, il gruppo di audit dovrebbe considerare le domande seguenti
per ciascun documento
▪ Quale registrazione di audit verrà creata utilizzando questo documento di lavoro?
▪ Quale attività di audit è collegata a questo particolare documento di lavoro?
▪ Chi sarà l’utilizzatore di questo documento di lavoro?
▪ Quali informazioni sono necessarie per preparare questo documento di lavoro?
Per gli audit combinati dovrebbero essere elaborati documenti di lavoro per evitare la duplicazione delle attività di
audit:
▪ raggruppamento di requisiti simili da diversi criteri;
▪ coordinando il contenuto delle check list e dei questionari correlati.
I documenti di lavoro di revisione dovrebbero essere adeguati per trattare tutti gli elementi del sistema di gestione
nell'ambito dell'audit e possono essere forniti su qualsiasi supporto.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
183
Selezione delle fonti di informazione

Le fonti di informazioni selezionate possono variare in base al campo di applicazione e alla complessità dell'audit e
possono includere quanto segue:
a) interviste con dipendenti e altre persone;
b) osservazioni delle attività e dell'ambiente e delle condizioni di lavoro circostanti;
c) informazioni documentate, quali politiche, obiettivi, piani, procedure, norme, istruzioni, licenze e permessi,
specifiche, disegni, contratti e ordini;
d) registrazioni, come registri di ispezione, verbali delle riunioni, rapporti di audit, registrazioni del programma di
monitoraggio e risultati delle misurazioni;
e) riepiloghi, analisi e indicatori di performance;
f) informazioni sui piani di campionamento e su eventuali procedure per il controllo dei processi di
campionamento e misurazione;
g) rapporti da altre fonti, ad es. feedback dei clienti, sondaggi e indagini esterne, altre informazioni pertinenti da
parti esterne e valutazioni di fornitori esterni;
h) banche dati e siti Web;
i) simulazione ed elaborazione di modelli.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
184
Visita del sito di audit

Per ridurre al minimo le interferenze tra le attività di audit e i processi operativi dell’organizzazione oggetto di audit e
per garantire la salute e la sicurezza del gruppo di audit durante una visita, è necessario considerare quanto segue:
a) Pianificazione della visita: - garantire l'accesso e l'autorizzazione a quelle parti del sito dell’organizzazione
oggetto dell'audit, per consentirne la visita in conformità al campo di applicazione dell'audit; - fornire
informazioni adeguate agli auditor in materia di sicurezza e salute sul lavoro; confermare con l’organizzazione
oggetto di audit che saranno disponibili per il gruppo di audit i dispositivi di protezione individuale richiesti -
confermare gli accordi con l'entità controllata per l'uso di dispositivi mobili e videocamere, comprese le
informazioni di registrazione quali fotografie di luoghi e attrezzature, schermate o fotocopie di documenti, video
di attività e interviste, tenendo conto delle questioni di sicurezza e riservatezza; - salvo verifiche ad hoc non
pianificate, assicurare che il personale visitato sia informato degli obiettivi e del campo di applicazione dell'audit.
b) Attività in campo: - evitare ogni inutile disturbo ai processi operativi; - assicurarsi che il gruppo di audit utilizzi
correttamente i DPI (se applicabile); - assicurare che siano comunicate le procedure di emergenza (es. uscite di
emergenza, punti di raccolta); - programmare le comunicazioni per ridurre al minimo le interruzioni; - adattare le
dimensioni del gruppo di audit e il numero di guide e osservatori in funzione del campo di applicazione
dell’audit, al fine di evitare, per quanto possibile, interferenze con i processi operativi; - non toccare o
manipolare apparecchiature, se non esplicitamente autorizzato; - se si prelevano copie di documenti su qualsiasi
supporto, chiedere il permesso in anticipo e considerare questioni di riservatezza e sicurezza; - quando si
prendono appunti, evitare di raccogliere informazioni personali, se non richiesto da obiettivi di audit o criteri di
audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
185
Visita del sito di audit

c) Attività di audit virtuali: assicurarsi che il gruppo di audit stia utilizzando i protocolli concordati per l'accesso
remoto, che comprendono i dispositivi, i software richiesti, ecc.; in caso di acquisizione di schermate video
(screen shot) per copiare documenti di qualsiasi tipo, chiedere l'autorizzazione in anticipo e prendere in
considerazione gli aspetti di riservatezza e sicurezza, evitando di riprendere persone senza il loro permesso. È
necessario considerare come eliminare le informazioni e le evidenze dell'audit, indipendentemente dal tipo di
mezzo utilizzato (per la registrazione), in una data successiva, una volta venuta meno l'esigenza di conservazione.
Gli audit a distanza sono condotti quando un'organizzazione svolge un'attività oppure fornisce un servizio
utilizzando un ambiente online, permettendo alle persone di eseguire processi indipendentemente dai siti fisici
(per esempio, Intranet aziendale, “computing cloud”). Gli audit a distanza si riferiscono all'utilizzo di tecnologia
per raccogliere informazioni, per intervistare un'organizzazione oggetto dell'audit, ecc., qualora i metodi "faccia
a faccia" non siano possibili o desiderati. Un audit virtuale si attiene al consueto processo di audit, ma utilizza la
tecnologia per verificare le evidenze oggettive. L'organizzazione oggetto dell'audit e il gruppo di audit
dovrebbero assicurare appropriati requisiti tecnologici per gli audit virtuali, tra cui:
▪ assicurare che il gruppo di audit stia utilizzando i protocolli concordati per l'accesso remoto, che
comprendono i dispositivi, i software richiesti, ecc.;
▪ condurre verifiche tecniche preventive per risolvere eventuali problemi tecnici;
▪ assicurare che siano disponibili e noti i piani di emergenza (per esempio, l'interruzione dell'accesso, l'utilizzo
di tecnologie alternative), prevedendo anche un'estensione del tempo complessivo di audit, se necessario.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
186
Conduzione di interviste
Le interviste dovrebbero essere condotte in modo adeguato alla situazione e all'individuo intervistato, faccia a faccia
o tramite altri mezzi di comunicazione. L’auditor deve considerare quanto segue:
a) le interviste dovrebbero essere condotte con individui di livelli e funzioni appropriati che svolgono attività o
compiti nell'ambito di audit;
b) le interviste dovrebbero normalmente essere svolte durante il normale orario di lavoro e, se del caso, nel
normale luogo di lavoro dell'intervistato;
c) mettere l'intervistato a proprio agio prima e durante l'intervista;
d) il motivo dell'intervista e l'eventuale presa di appunti deve essere spiegata;
e) le interviste possono essere avviate chiedendo alle persone di descrivere il loro lavoro;
f) il tipo di domanda utilizzata dovrebbe essere attentamente selezionata (es. aperta, chiusa, domande principali);
g) consapevolezza della limitata comunicazione non verbale nelle interviste virtuali;
h) i risultati dell'intervista dovrebbero essere riassunti e riesaminati con l'individuo intervistato;
i) le persone intervistate dovrebbero essere ringraziate per la loro partecipazione e cooperazione.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
187
Determinazione delle risultanze dell'audit
Nel determinare le risultanze dell'audit, si dovrebbe considerare quanto segue:
a) registrazioni e conclusioni delle azioni conseguenti a precedenti audit;
b) requisiti del committente dell’audit;
c) accuratezza e adeguatezza delle evidenze oggettive a sostegno delle risultanze dell'audit;
d) la misura in cui si realizzano le attività di audit pianificate e si ottengono i risultati pianificati;
e) risultanze che eccedono le prassi ordinarie o le opportunità di miglioramento;
f) dimensione del campione;
g) la categorizzazione (eventuale) delle risultanze dell'audit.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
188
Registrazione delle conformità
Per le registrazioni delle conformità, si dovrebbe considerare quanto segue:
a) identificazione dei criteri di audit rispetto ai quali è dimostrata la conformità;
b) evidenze dell’audit a supporto della conformità;
c) la dichiarazione di conformità, se applicabile.
d) descrizione o riferimento ai criteri di audit;
e) evidenze dell’audit;
f) dichiarazione di non conformità;
g) risultanze dell'audit correlate, se applicabile.
Corso
Auditor Corso
per19011:2018
di gestione ACM
ACMCert S.r.l.
GROUP
9 APENDICE A
189
Trattamento delle risultanze riguardanti più criteri
Durante un audit, è possibile identificare i risultati relativi a più criteri. Laddove un revisore identifichi una
constatazione legata a un criterio in un audit combinato, il revisore deve considerare il possibile impatto sui criteri
corrispondenti o simili degli altri sistemi di gestione.
A seconda delle disposizioni con il committente di audit, l’auditor può rilevare:
a) risultanze di audit separate per ciascun criterio;
oppure
b) un’unica risultanza, che combina i riferimenti a più criteri.
CorsoAuditor
Corso 19011:2018 Linee guida
/ Lead Auditor per gli audit
CorsodiAuditor/Lead
ISO 19011:2018 Auditor SGQ – Modulo 3 – Rev.0
sistemi di gestione ACM
ACM Cert
GROUPS.r.l.
190
GRAZIE PER
L’ATTENZIONE!

Corso ISO 19011-2018 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Corso ISO 19011-2018 PDF

Caricato da

Copyright:

Formati disponibili

ACM CERT S.r.l.

Make life more easier

Presentare i contenuti essenziali della nuova EN ISO 1911:2018 e i vantaggi

2 Evidenziare le novità introdotte, rispetto alla versione precedente.

Consentire ai partecipanti di migliorare la propria competenza del processo

Conoscerete lo scopo e la struttura della linea guida ISO 19011:2018, a fronte

2 Conoscerete le metodologie e i processi di audit propri della ISO 19011:2018.

3 Saprete quali sono le responsabilità di un Auditor e di un Lead Auditor.

Avrete individuato ed esercitato le capacità attitudinali richieste per dirigere l’audit:

Aspetti generali e principali novità

Struttura della norma / Terminologia

Scopo e i principi dell’audit

Svolgimento / comunicazione dell’audit

Gestione dei rischi attraverso l’audit

Competenze e valutazione dell’auditor

Corso Auditor / Lead Auditor ISO 19011:2018.

La terza edizione della ISO 19011, pubblicata nel

La norma è destinata a una vasta gamma di

Per gli audit di terza parte si applica ISO/IEC

Campo di applicazione: Estensioni e limiti di un audit.

Le fonti dei requisiti: Prescrizioni cogenti; Prescrizioni autodefinite dall’Organizzazione; Parti

Evidenza oggettiva: Dati che supportano l’esistenza o la veridicità di qualcosa.

Necessità di prendere in considerazione un approccio più ampio per le attività di

ISO 19011:2011 ISO 19011:2018

Corso Auditor / Lead Auditor ISO 19011:2018.

▪ Inserimento dell’approccio basato sul rischio fra i principi dell’audit;

▪ Estensione dei requisiti generali di competenza degli auditor e contestuale eliminazione

ISO 19011:2011 ISO 19011:2018

NESSUN CAMBIAMENTO STRUTTURALE!

Contiamo alcune parole …

ISO 19011:2011 ISO 19011:2018

⇒ CONTESTO: +17 volte

Possiamo presumere che venga maggiormente stimolato il miglioramento continuo?

I driver della revisione

✓ 3 nuovi termini (audit combinato, audit congiunto, evidenza dell’audit)

4.1 Comprendere 6.1 Azioni per 9.1 Monitoraggio,

4.2 Comprendere 6.2 Obiettivi per la

4.3 Determinare il 5.3 Ruoli,

4.4 Sistema di 8.4 Controllo dei

LEGENDA 8.6 Rilascio di

Fonte: I quaderni della Qualità «Struttura di Alto 8.7 Controllo degli

✓ elevata professionalità degli auditor

LA STRUTTURA DELLA NORMA

SISTEMI DI GESTIONE DEI RISCHI ISO 31000

Sistemi di Sistemi di Sistemi di Sistemi di

SISTEMI DI GESTIONE PER LA COMPLIANCE ISO 19600

L’approccio basato sull’HLS

La guida dovrebbe essere adattata, per quanto appropriato, al campo di applicazione,

Audit interni Audit esterni

Azienda Audit ai fornitori Organismi di Certificazione

L’analisi dei rischi e opportunità

Struttura della norma

Corso Auditor / Lead Auditor ISO 19011:2018.

LA STRUTTURA DELLA NORMA

Capitolo 1 • Scopo e campo di applicazione

Capitolo 2 • Riferimenti normativi (non sono presenti)

Capitolo 3 • Termini e definizioni

Capitolo 4 • Principi di audit

Capitolo 5 • Gestione di un programma di audit

Capitolo 6 • Conduzione di un audit

Capitolo 7 • Competenze e valutazione degli auditor

Corso Auditor / Lead Auditor ISO 19011:2018.

1 SCOPO E PRINCIPI DELL’AUDIT