Con l’ISO9001: 2015 il “mestiere” dell’auditor diventa più difficile!

0

La versione della Norma ISO 9001 di prossima pubblicazione (2015) presenta degli aspetti innovativi decisamente rilevanti che avranno importanti ripercussioni su tutte le attività connesse al mondo della “Qualità”: organizzazioni che la dovranno implementare, consulenti che dovranno indirizzare e assistere tali organizzazioni, Organismi di Certificazione (e quindi anche di accreditamento) che ne dovranno garantire la corretta applicazione, istituti di formazione, e, naturalmente, gli auditor.
Questi ultimi sono chiamati ad esercitare quella funzione di “ascolto”, che si declina diversamente a seconda che si tratti di audit interni, di seconda parte o di terza parte:

  • i primi sono infatti maggiormente indirizzati a supportare la Direzione fornendo utili elementi di valutazione sul grado di raggiungimento degli obiettivi per la qualità e formulando quindi raccomandazioni per il miglioramento;
  • i secondi svolgono un’azione più marcatamente di controllo, dovendo essenzialmente rispondere allo scopo di verificare il rispetto di requisiti contrattuali;
  • i terzi hanno invece un carattere “misto”, in cui il mandato di “controllo” (verificare il rispetto di requisiti normativi) è spesso accompagnato dall’impegno ad aiutare l’organizzazione (in questo contesto anche “cliente” dell’Organismo di Certificazione) a individuare opportunità di miglioramento.

Tuttavia, è prendendo spunto da un monito presente in un’altra norma, la ISO 19011:2012, che si vuole affrontare il tema del compito dell’auditor chiamato a operare a fronte della nuova ISO 9001. Di che “monito” stiamo parlando?
La ISO 19011 ci ricorda quali e quanti sono i “rischi” di non raggiungere gli obiettivi dell’audit; sono annoverati, tra gli altri:

  • competenze insufficienti; facendo appello alle quattro componenti della competenza (istruzione, addestramento, esperienza e abilità, ma tralasciando in questo caso l’istruzione, che diamo per scontata), questo rischio si concretizza quando l’auditor:
    • ha un’insufficiente conoscenza dei “criteri” (i requisiti normativi), o
    • è scarsamente addestrato quindi inesperto nello svolgimento di audit), oppure
    • non ha adeguate conoscenze gestionali, organizzative, tecniche e pratiche del settore (derivanti essenzialmente da scarsa esperienza di lavoro nello specifico settore dell’organizzazione in cui è chiamato ad effettuare l’audit), oppure
    • è inadatto per motivi caratteriali (le famose caratteristiche personali);
  • tempo insufficiente per la conduzione dell’audit;
  • campionamento inadeguato;

D’altro canto, una delle più interessanti novità della nuova ISO 9001 è proprio il “risk-based thinking”, l’approccio mentale, il ragionare basato sui rischi. Il “rischio”, definito in entrambe le norme come “effetto dell’incertezza sugli obiettivi o sui risultati attesi” è quindi un elemento comune nelle due norme che costituiscono i riferimenti per l’auditor di SGQ.
Naturalmente gli obiettivi sono completamente diversi: quelli dell’organizzazione riguardano la soddisfazione delle parti interessate (e in primis del cliente per la ISO 9001), mentre quelli dell’auditor riguardano l’efficacia del processo stesso di audit.
Ciò che si vuole evidenziare è l’interessante relazione esistente tra le due tipologie di rischio. In altre parole si vuole dimostrare che l’audit sarà tanto più efficace quanto più l’organizzazione sarà stata efficace nel processo di identificazione e gestione dei propri rischi. Infatti, ed è ancora la ISO 19011 che ci illumina in tal senso, la programmazione e la pianificazione degli audit dovrebbe essere orientata e “focalizzata” sui processi “critici” dell’organizzazione, su quelli cioè che presentano e comportano i maggiori rischi di non raggiungere i risultati attesi. Ma i risultati attesi di un’organizzazione, che ha scelto il modello gestionale offerto dalla ISO 9001, comprendono (per non dire “sono”) gli obiettivi per la qualità, per ottenere i quali l’organizzazione dovrà aver individuato i processi più “influenti”, quelli in cui si nascondono i pericoli, dovrà aver identificato e analizzato tali pericoli, e dovrà aver predisposto le misure necessarie a eliminarli o ridurne al minimo la possibilità di accadimento e quindi l’impatto.
Ecco allora che l’auditor, consapevole in quanto edotto sui rischi dell’organizzazione, sarà in grado da un lato di predisporre un’adeguata “preparazione” dell’audit, che dovrà garantire la necessaria conoscenza dei processi “critici” e un’idonea pianificazione temporale degli interventi di raccolta delle evidenze, tenendo anche conto del campionamento più adatto allo scopo, e dall’altro potrà concentrare su tali processi tutto il suo impegno durante l’audit in campo.
Vale qui la pena di ricordare il testo del punto 9.2.2 della nuova ISO 9001 che specifica i requisiti per la pianificazione degli audit e che risulta perfettamente in linea con le considerazioni appena fatte:
9.2.2 The organization shall:
a) plan, establish, implement and maintain an audit programme( s) including the frequency, methods, responsibilities, planning requirements and reporting, which shall take into consideration the quality objectives, the importance of the processes concerned, customer feedback, changes impacting on the organisation, and the results of previous audits.
In questo modo, quindi, l’auditor avrà a sua volta minimizzato i rischi di non raggiungere gli obiettivi dell’audit, attraverso l’ottimizzazione di competenze e tempi, resa possibile dall’analisi degli obiettivi e dei rischi dell’organizzazione.
Riprendiamo ora in esame le tipologie di audit che abbiamo sopra ricordato; audit di prima, seconda e terza parte. E lo facciamo alla luce delle considerazioni appena fatte sui rischi.
Appare evidente che gli audit di seconda parte sono quelli meno influenzati dalle novità della nuova ISO 9001, non fosse altro per il carattere prettamente “contrattuale” dei criteri di audit (contratti, commesse, capitolati, specifiche del cliente), relegando, se così si può dire, la ISO 9001 in subordine; e questo è sempre stato vero, quale che fosse l’edizione della norma. Ci focalizzeremo quindi su quelli di prima e terza parte.
E lo facciamo a fronte di quelle, tra tutte le novità della nuova norma, che riteniamo più impegnative, sia a fini applicativi (onere dell’organizzazione) che a fini di verifica (compito dell’audit), mettendoci già nei panni dell’auditor che ha predisposto una check-list disegnata sui nuovi requisiti. Questa check-list potrebbe quindi includere le seguenti domande:

  1. Punto 4.1 – Understanding the organization and its context:
    • Nel determinare il contesto in cui opera, l’organizzazione ha stabilito le criticità interne ed esterne che possono minare la sua capacità di raggiungere i risultati pianificati?
    • Ha riesaminato le informazioni che deve aver raccolto in seguito all’individuazione e al monitoraggio di tali criticità?
  2. Punto 4.2 – Understanding the needs and expectations of interested parties:
    • L’organizzazione ha compreso i bisogni e le aspettative delle parti interessate che possono avere un impatto sulla sua capacità di fornire prodotti e servizi che soddisfano i requisiti dei clienti e quelli cogenti?
    • Ha identificato i requisiti di tali parti interessate che possono influire sui requisiti dei prodotti/ servizi dell’organizzazione e quindi sulla pianificazione del SGQ?
  3. Punto 6.1 - Actions to address risks and opportunities:
    • L’organizzazione ha individuato i rischi e le opportunità derivanti dall’analisi dei precedenti punti 4.1 e 4.2? – Ha pianificato e realizzato azioni per affrontare e gestire tali rischi e tali opportunità?
  4. Punto 6.3 – Planning of changes: Per quanto riguarda questo requisito, prima di porre qualsiasi domanda l’auditor dovrà stabilire se è d’accordo o no con l’organizzazione nella valutazione dei cambiamenti che meritano di essere trattati secondo il requisito (che peso avranno sul SGQ? significativo o marginale?) e quindi verificare se tale cambiamento è stato gestito con la richiesta pianificazione.

Dall’analisi di quanto sopra è lecito supporre che il compito per l’auditor interno sia “meno difficile” (appositamente non dico “più facile”) di quello dell’auditor di terza parte, perché, se la Direzione ha volontariamente scelto il modello ISO 9001 ed è seriamente impegnata ad applicarlo, il Rappresentante della Direzione disporrà di tutti gli elementi conoscitivi e di tutti gli strumenti necessari per programmare e pianificare audit in grado di rispondere esaurientemente ed esaustivamente alle domande dell’ipotetica check-list di cui sopra. Programmare e pianificare audit di tal fatta significa infatti anche fornire al proprio gruppo di audit la documentazione necessaria e, possibilmente, anche delle check-list non più generiche, come quella sopra illustrata (che non fa che volgere in domanda il requisito normativo), bensì specificatamente realizzate a partire dai documenti di riferimento. A questo proposito (i documenti di riferimento) urge menzionare l’altra grossa novità della ISO 9001 relativa alla documentazione: l’ultimo capoverso del punto 4.4 afferma che: «The organization shall maintain documented information to the extent necessary to support the operation of processes and retain documented information to the extent necessary to have confidence that the processes are being carried out as planned ».1
È superfluo ricordare (ma lo facciamo ugualmente) che solo uno sprovveduto [o, peggio ancora, uno in malafede] potrebbe interpretare il requisito come una concessione a operare un’eliminazione o una riduzione sconsiderata di documenti e di registrazioni (già presenti nelle organizzazioni che applicano la ISO 9001:2008 e da “pensare” e realizzare per quelle che inizieranno la prima volta con la ISO 9001:2015). Se l’auditor (sia interno, che di terza parte) dovesse incappare in organizzazioni sprovvedute o in malafede, non avrà nessuna speranza: l’audit sarà inefficace. Per quelli interni non sarà un problema (alla Direzione evidentemente poco importa che gli audit siano efficaci!).
Per gli audit di terza parte può essere un problema, se la coppia “Team di Auditor-Organismo di Certificazione”, etici e professionali, produrranno «conclusioni» coerenti aventi per oggetto la non concessione della certificazione del SGQ. Vale la pena, a questo proposito, di ricordare la raccomandazione della ISO 19011 relativa alla “fattibilità” di un audit, che consiglia la sospensione o il rinvio del processo nel momento in cui l’auditando non si dimostra disponibile e non fornisce all’auditor elementi validi per consentirgli di effettuare il suo lavoro: la valutazione delle evidenze per poterle confrontare con i criteri (i requisiti) e formulare risultanze e conclusioni.
Come può l’auditor espletare il suo compito se l’organizzazione non documenta le sue regole, i suoi obiettivi, i suoi rischi, le sue strategie, i suoi metodi, e così via? Ma se invece, come si auspica, le organizzazioni applicheranno il requisito 4.4 in modo adeguato, esse non si limiteranno a realizzare i documenti e a produrre le registrazioni necessarie per supportare le “operazioni” (attraverso il personale preposto), ma predisporranno, attraverso l’Alta Direzione, anche i documenti che scaturiscono dall’esame e dall’applicazione dei succitati punti 4.1 , 4.2, 6.1 e 6.3. In tal modo forniranno a tutta l’organizzazione, e quindi anche agli auditor, i criteri necessari per poi condurre un audit efficace. Per l’auditor di terza parte, in aggiunta a quanto già detto sopra, e fatto salvo l’impegno, il coinvolgimento e la partecipazione della Direzione nell’implementazione del SGQ, il compito si presenta comunque più difficile, poiché, non facendo parte dell’organizzazione e non “vivendola” quotidianamente, disporrà sempre di meno elementi conoscitivi (e di meno tempo) rispetto all’auditor interno (sia esso un dipendente o un consulente). Altri requisiti che possono presentare difficoltà nella raccolta delle evidenze e nella loro valutazione, in quanto sottendono la necessità di sempre maggiori competenze da parte dell’auditor, sono racchiusi nei punti 5.1.1 (soprattutto i sottopunti “b” e “d”) e 5.2.1 (soprattutto il sottopunto “a”). In questi requisiti, infatti, come del resto già succedeva con la ISO 9001:2008, si concretizza l’impegno della Direzione nello sviluppo, nella diffusione del SGQ e nella sua integrazione nel “business” dell’organizzazione. Ecco il testo dei due punti:

5.1.1 Top management shall demonstrate leadership and commitment with respect to the quality management system by:
a) taking accountability of the effectiveness of the quality management system;
b) ensuring that the quality policy and quality objectives are established for the quality management system and are compatible with the strategic direction and the context of the organization;
c) ensuring that the quality policy is communicated, understood and applied within the organization;
d) ensuring the integration of the quality management system requirements into the organization’s business processes.

5.2.1 Top management shall establish, review and maintain a quality policy that:
a) is appropriate to the purpose and context of the organization;
b) provides a framework for setting and reviewing quality objectives;
c) includes a commitment to satisfy applicable requirements;
d) includes a commitment to continual improvement of the quality management system. Raccogliere evidenze oggettive atte a dimostrare che la «Politica per la qualità» è appropriata allo scopo e al contesto dell’organizzazione era sfidante prima e lo è ancor più con questa norma, che prevede un’approfondita analisi del “contesto” e del mercato in cui si muove l’azienda, non dimenticando di identificare le esigenze e le aspettative di tutte le parti interessate che possono avere un impatto sui prodotti destinati ai clienti dell’organizzazione. Si intuisce quanto sia difficile per un auditor (soprattutto se esterno) comprendere e assimilare velocemente questi aspetti, anche nei rari casi in cui ci si trova di fronte a una Direzione consapevole e seriamente impegnata a implementare un SGQ conforme alla norma. Si può immaginare quanto l’obiettivo di condurre un audit efficace diventi utopistico quando ci si confronta con Direzioni che hanno dovuto applicare la Norma per vincolo e non per scelta.
Continuando la lettura della Norma, al punto 7.1.6 – Organizational knowledge essa esprime un requisito che, ancora una volta, solo una Direzione attenta, coinvolta e matura può comprendere a fondo, osservare, e, soprattutto, tradurre in altrettanti documenti (si noti quel “maintained and made available” riferito alla “knowledge” al secondo capoverso), che permetterebbero anche ad un auditor di effettuare una valutazione significativa:

7.1.6 The organization shall determine the knowledge necessary for the operation of its processes and to achieve conformity of products and services. This knowledge shall be maintained, and made available to the extent necessary. When addressing changing needs and trends, the organization shall consider its current knowledge and determine how to acquire or access the necessary additional knowledge.

Note 1 Organizational knowledge can include information such as intellectual property and lessons learned.

Note 2 To obtain the knowledge required, the organization can consider: a) internal sources (e.g. learning from failures and successful projects, capturing undocumented knowledge and experience of topical experts within the organization); b) external sources (e.g. standards, academia, conferences, gathering knowledge with customers or providers).

Per concludere questo approfondimento solo sulle novità più significative ai fini dell’audit, notiamo che tra gli elementi in ingresso per il Riesame di Direzione, al punto 9.3.1 – Management review on strategic direction ve ne sono due nuovi:
b) changes in external and internal issues that are relevant to the quality management system, e
d) the effectiveness of actions taken to address risks and opportunities (see clause 6.1)

La Direzione deve quindi valutare i cambiamenti di elementi costitutivi del contesto esterno e interno che hanno impatto sul SGQ e l’efficacia delle azioni intraprese per gestire i rischi e le opportunità. Quest’analisi, se fatta bene dalla Direzione, agevola invece il compito dell’auditor, poiché gli consente di verificare, in forma indiretta, l’applicazione di quei quattro elementi critici sopra descritti che tentavamo di affrontare con la check-list. Si tratta, come detto, di una valutazione per interposta persona ma rappresenta un ottimo punto di partenza per ulteriori approfondimenti. Infine, un’avvertenza: attenzione alle possibili diverse interpretazioni del testo normativo. Come è stato ripetutamente sottolineato, questa versione sancisce definitivamente la tendenza, avviata fin dal 1987, a ridurre i contenuti “prescrittivi”, nella convinzione di rivolgersi ad una platea sempre più matura, meno bisognosa di regole puntuali e sempre più in grado di darsi da sola tali regole, affidando alla norma solo il ruolo di modello di riferimento generale, valido per tutti, universale, fatto più di “princìpi” che di veri e propri requisiti, e per questo sempre meno dettagliato. Ma, inevitabilmente, si corre il rischio di non essere capiti, soprattutto se la platea (organizzazioni, consulenti, formatori, auditor) non possiede quella maturità e quella intelligenza organizzativa tanto auspicata. Non è un caso che la nuova norma includa, al punto 3, ben 69 termini con le relative definizioni e note esplicative, e non più un generico riferimento alla ISO 9000, come nella versione attuale: è una necessità, nata dalla consapevolezza, da parte del Comitato ISO, di assistere il lettore nella comprensione e nella giusta interpretazione da dare a questo testo, certamente non facile, non immediato.
Termini e concetti come “risk-based thinking”, “performance indicators”, “organizational knowledge”, “strategy”, “business environment”, “risk management”, “interested party”, entrano per la prima volta nel vocabolario “ISO 9001” e devono essere digeriti, assimilati, oltre che semplicemente capiti.
L’auditor, come l’organizzazione, dovrà impegnarsi a fondo per dominare questi concetti, comprendere appieno i requisiti della norma, immedesimarsi nell’organizzazione che la deve praticare, e acquisire infine quella competenza che gli consentirà di valutarne efficacemente l’applicazione.

NOTE

1 Capoverso che può essere tradotto come segue: «L’organizzazione deve predisporre e tenere sotto controllo documenti nella misura necessaria a supportare i processi e deve conservare le registrazioni nella misura necessaria a raggiungere la certezza che i processi sono condotti come pianificato».

It is presented the novelty of the ISO / IEC 17021:2011 most relevant to the Auditor about the registration on the Audit Report of objective evidence found to support the findings of the audit by the Auditor, that requires more attention and care and a different approach in the management of its assets.

Giorgio Formenti

Consigliere di AICQ-ci e Consigliere di PQ2000-progetto Qualità 2000 srl
giorgio.formenti@fastwebnet.it
Share.

Comments are closed.