Il nuovo rapporto di Audit

0

Premessa

Il presente articolo chiude il ciclo di articoli sulle novità introdotte dalla ISO/IEC 17021: 2011 nel processo di certificazione degli Organismi di Certificazione (OdC) con impatto sull’attività degli Auditor.
Viene presenta la novità più rilevante relativa alla registrazione sul Rapporto di Audit delle evidenze oggettive a supporto delle risultanze dell’audit oppure farvi riferimento. Quest’ultima opzione è di fatto formale perché, combinando ulteriori prescrizioni della ISO/IEC 17021:2011, per consentire alla Funzione deliberante di prendere decisioni informate per il rilascio o il mantenimento della certificazione, il modo più adeguato è riportarle direttamente sul Rapporto di Audit.
Per comprendere tale novità, occorre confrontare i contenuti del Rapporto di Audit previsti dalla ISO/IEC 17021:2011 e dalla ISO 19011:2002, visto che la ISO/IEC 17021:2006 rimandava a essa la preparazione del Rapporto di Audit. Ricordiamo che la ISO/IEC 17021: 2011 è divenuta autoportante per tutti quegli aspetti che nella ISO/IEC 17021: 2006 erano demandati alla ISO 19011:2002 e che non c’è alcun legame tra la ISO/IEC 17021:2011 e l’attuale ISO 19011:2012.
La differenza sostanziale tra la ISO/IEC 17021:2006 e la ISO/ IEC 17021:2001, sta nel fatto che, fermo restando la strettissima correlazione ”risultanze-evidenze oggettive”, in fase di predisposizione del Rapporto di Audit la ISO 19011:2002, al punto 6.6.1 g), non la ribadisce. Al contrario la ISO/IEC 17021:2011 ogniqualvolta cita le risultanze dell’audit abbina sempre le evidenze oggettive a supporto, rafforzandone il legame. Ne consegue che la predisposizione del Rapporto di Audit ne risente significativamente, sia che tali evidenze siano riportate sul Rapporto stesso, sia che siano citate con rimandi ad altri documenti.

Lo scenario precedente della ISO/IEC 17021:2006

La ISO/IEC 17021:2006, rimandando alla ISO 19011: 2002 la parte di gestione dell’audit, consentiva l’utilizzo di liste di riscontro suggerite da quest’ultima.
La possibilità, dal un lato, di riportare in documenti diversi dal Rapporto di Audit le evidenze riscontrate, e, dall’altro, di riportare nel Rapporto di Audit in maniera concisa gli aspetti principali e le risultanze dell’audit, permetteva una gestione semplificata delle registrazioni da produrre nel corso dell’audit: non consegnando all’Organizzazione sottoposta ad audit gli ulteriori documenti di registrazione dell’audit, quali liste di riscontro o documenti similari, era possibile procedere a registrazioni non sempre accurate e chiare, limitandosi a semplici richiami alle evidenze riscontrate.
L’Auditor poteva gestire la lista di riscontro come semplice brogliaccio o un foglio di annotazioni, atteso che, per consentire un’adeguata interpretazione da parte della Funzione deliberante, poteva effettuare una loro ”riorganizzazione, ripulitura e messa in chiaro” successivamente all’effettuazione dell’audit, prima della consegna dei documenti dell’audit all’OdC. La leggibilità di tali informazioni e dei relativi documenti di supporto non costituiva un aspetto da gestire necessariamente nel corso dell’audit ed entro la fine dell’audit stesso prima della riunione di chiusura.
Nel contempo, gli OdC in questi anni si sono sempre orientati ad utilizzare Rapporti di Audit snelli, sintetici e facilmente fruibili da parte dell’Organizzazione sottoposta ad audit, arricchendo l’insieme dei documenti a corredo del Rapporto di Audit e di utilità per la Funzione deliberante, anche tendendo conto di eventuali peculiarità dei vari schemi di certificazione e/o di alcuni settore EA e, laddove presenti, anche dei Regolamenti Tecnici dell’Organismo di Accreditamento Italiano Accredia, con valore mandatorio, con liste di risconto specifiche di schema e/o di settore.
In definitiva, con la ISO/IEC 17021:2006 l’Auditor non soffriva l’incombenza di registrare nel corso dell’audit le evidenze oggettive riscontrate in maniera completa, accurata, concisa e chiara, potendola rimandare successivamente.
Del complesso dei documenti che ogni OdC aveva previsto per la registrazione dell’audit, solo il Rapporto di Audit e, laddove eventualmente presenti, i documenti di registrazione delle non conformità rilevate occorreva, in accordo alla lista di distribuzione stabilita, consegnare alla fine delle attività all’Organizzazione oggetto di audit. Le liste di riscontro non venivano consegnate, ne tantomeno esplicitamente richiamate nel Rapporto di Audit.

Scenario attuale della ISO/IEC 17021:2011

L’assenza nella ISO/IEC 17021: 2011 di riferimenti espliciti ad altri documenti di registrazione delle evidenze oggettive per pervenire alle risultanze dell’audit, affida di fatto al Rapporto di Audit il compito di contenere tutte le evidenze riscontrate e necessarie per sostenere tali risultanze.
Le prescrizioni sulle quali occorre concentrarsi sono quelle del:
•requisito 9.1.9.6 relativo all’identificazione e registrazione delle risultanze dell’audit ed in particolare del requisito 9.1.9.6.1 secondo cui le risultanze dell’audit, che sintetizzano le conformità e forniscono dettagli sulle non conformità, e il relativo supporto dell’evidenza dell’audit devono essere registrate e riportate per consentire una decisione informata circa la certificazione o il relativo mantenimento;
•requisito 9.1.10 relativo al Rapporto di Audit ed in particolare del requisito 9.1.10.2 sui contenuti del Rapporto stesso, e nello specifico del requisito 9.1.10.2 i) secondo cui il Rapporto di Audit deve contenere le risultanze dell’audit, l’evidenza e le conclusioni, coerenti con i requisiti del tipo di audit, oppure fare riferimento ad esse.
Combinando tali prescrizioni ed aggiungendo quella secondo cui la Funzione deliberante ha conoscenze ed abilità inferiori al Gruppo di Audit (vedi appendice A della ISO/IEC 17021:2011 e articolo n°5 novembre-dicembre 2013), affinché il processo di certificazione possa essere efficace ed adeguato, si conclude che le evidenze oggettive riscontrate è più opportuno che siano riportate nel Rapporto di Audit.
Volendo rimandare ad altri documenti la registrazione delle evidenze oggettive, lo stesso Rapporto di Audit ne deve fare esplicito riferimento in modo da consentire alla Funzione deliberante l’associazione tra risultanze ed evidenze oggettive a supporto. Associazione che potrebbe essere perseguita con specifici e ripetuti rimandi ad una eventuale lista di riscontro. Ciò potrebbe appesantire il Rapporto di Audit, rendendolo non facilmente fruibile all’Organizzazione oggetto di audit e comunque di articolata predisposizione, ancor più che riportare le evidenze oggettive direttamente nel Rapporto stesso. Inoltre, i documenti ai quali il Rapporto di Audit fa riferimento ne sono parte integrante e pertanto devono essere distribuiti all’Organizzazione oggetto di audit, con la necessità di renderli comunque leggibili.
è personale opinione che la soluzione più adeguata e in linea con la ISO/IEC 17021:2011, sia quella di riportate nel Rapporto di Audit le evidenze oggettive riscontrate.
Ciò ha un significativo impatto sull’attività degli Auditor, sopratutto per aspetti squisitamente operativi. è indubbio che talvolta per condizioni logistiche ed operative nelle quali vengono effettuate le attività di audit, come nel caso di cantieri esterni o linee di produzione particolarmente articolate, è difficile procedere ad un’accurata registrazione delle evidenze raccolte durante l’audit. A ciò si aggiunge la necessità di combinare le esigenze di condurre interviste, fare osservazioni di processi ed attività o riesami di documenti e registrazioni in maniera efficace, con l’esigenza di produrre contestualmente registrazioni chiare, accurate e sintetiche.
Premesso che la ISO/IEC 17021:2011 non obbliga a completare il Rapporto di Audit alla fine dell’audit (ciò valeva anche per la ISO/IEC 17021: 2006), è consolidata la prassi, pienamente condivisibile, di consegnare all’Organizzazione oggetto di audit il Rapporto di Audit alla fine delle attività di audit. Infatti la ISO/IEC 17021:2011 prescrive al requisito 9.1.9.8.2 b) che in sede di riunione di chiusura dell’audit si comunichi all’Organizzazione il metodo e la tempistica per redigere il Rapporto di Audit, compresa ogni classificazione delle risultanze dell’audit. Lo stesso Regolamento di Accredia RG-01 ”Regolamento per l’Accreditamento degli OdC ” recita al requisito 2.5.7 che il Gruppo di Audit dell’OdC deve redigere ”tempestivamente” Rapporti di Audit sufficientemente completi e dettagliati per la corretta assunzione delle relative delibere. Quindi la stesura del Rapporto di Audit definitivo può avvenire anche dopo l’effettuazione dell’audit, consentendo all’Auditor di procedere in tranquillità ad un’adeguata registrazione delle evidenze riscontrate.
In definitiva, con la ISO/IEC 17021:2011 la necessità di riportare le evidenze oggettive riscontrate sul Rapporto di Audit, assunto che lo stesso venga consegnato all’Organizzazione oggetto di audit, richiede maggiore cura ed attenzione da parte degli Auditor nel registrare le informazioni raccolte, affinché possano essere accurate, sintetiche e chiare. Per le modalità con le quali si è operato fino ad oggi, ciò rappresenta una novità fortemente impattante.
Se aggiungiamo che le informazioni contenute sul Rapporto di Audit devono essere tali da consentire alla Funzione deliberante di prendere una decisione informata circa il rilascio o il mantenimento della certificazione, che può avere competenze inferiori a quelle del Gruppo di Auditor, allora la chiarezza e la completezza delle registrazioni da riportare sul Rapporto di Audit fanno aumentare il livello di attenzione e cura che deve essere espresso dall’Auditor.
Attenzione che c’era anche con la ISO/IEC 17021:2006, ma poiché le evidenze oggettive venivano registrate in documenti interni dell’OdC e sui quali era possibile un successivo affinamento, non sempre erano oggetto della massima cura e precisione da parte dell’Auditor durante l’effettuazione dell’audit.

Contenuti minimi del Rapporto di Audit

Al di là di quanto previsto al requisito 9.1.10.2 della ISO/IEC 17021:2011, si indicano i contenuti minimi di un Rapporto di Audit che possano da un lato soddisfare le prescrizioni normative e dall’altro le esigenze pratiche dell’Auditor, che deve abilmente dividersi tra la necessità di ricercare con tenacia e determinazione le evidenze oggettive con interviste, osservazioni e esami di documenti e registrazione, e la necessità di registrarle con la dovuta attenzione, essendo parte integrante del Rapporto di Audit.
Partiamo con l’affermare che il Piano di Audit deve essere strutturato per processi, tenendo conto di quelli individuati dall’Organizzazione oggetto di audit, assegnando ad ognuno di essi, nell’ambito della durata dell’audit e tenendo conto degli obiettivi e delle finalità dell’audit, il tempo necessario per effettuare un audit efficace. Conseguentemente, anche per dare evidenza che gli obiettivi e le finalità dell’audit sono stati soddisfatti, il Rapporto di Audit deve riportare risultanze ed evidenze dei processi esaminati coerentemente con quelli previsti dal Piano di Audit.
Per ogni processo le informazioni minime da riportare sul Rapporto di Audit sono:
•i Responsabili del processo, le eventuali relazioni interfunzionali e i livelli di autorità;
•i documenti del Sistema di Gestione predisposti per l’efficace funzionamento del processo, quali procedure, istruzioni, piani qualità, registrazioni, ecc, riportandone lo stato di revisione;
•una sintetica descrizione del funzionamento del processo, in modo che siano chiari gli elementi in ingresso e quelli in uscita, le varie attività di sviluppo del processo e le eventuali interazioni con altri processi, gli obiettivi prefissati per il processo stesso e i traguardi che l’Organizzazione intende raggiungere;
•le evidenze oggettive riscontrate a supporto delle risultanze dell’audit;
•la valutazione della capacità dell’Organizzazione di tenere sotto controllo il processo e delle sue prestazioni, con esplicito riferimento, laddove utilizzati, agli indicatori prestazionali.
Infine, è opportuno riportare sul Rapporto di Audit informazioni relative ai seguenti aspetti:
•conferma che gli obiettivi e le finalità dell’audit sono stati soddisfatti;
•significatività, appropriatezza ed adeguatezza dei campioni esaminati delle prassi adottate dall’Organizzazione nella gestione e tenuta sotto controllo dei processi esaminati;
•gestione controllata dei documenti e delle registrazioni;
•capacità dell’Organizzazione di individuare e recepire nelle proprie prassi e nella relativa documentazione i requisiti cogenti applicabili sui prodotti/servizi e/o ai fini della conformità legislativa organizzativa;
•punti di forza e di debolezza dell’Organizzazione e capacità della stessa a perseguire i propri obiettivi ed il miglioramento continuo;
•gestione del rischio e delle minacce da parte dell’Organizzazione;
•livello di consapevolezza del Personale a tutti i livelli;
•livello di impegno dell’Alta Direzione e sua partecipazione nel miglioramento continuo e relativa efficacia.

Conclusioni

La novità che il Rapporto di Audit deve riportare le risultanze dell’attività di audit e le evidenze oggettive a supporto si traduce in un necessario miglioramento da parte degli Auditor della capacità di prendere appunti e di elaborare i Rapporti di Audit. Il Responsabile del Gruppo di Audit deve organizzare efficacemente la propria attività e quella degli Auditor del Gruppo. Un’adeguata preparazione dell’audit può essere un’efficace soluzione per limitare eventuali difficoltà operative a cui si potrebbe andare incontro.
In definitiva, è opportuno che gli Auditor comprendano che sono chiamati ad un nuovo modo di gestire tempi e modalità dell’audit e soprattutto ad un nuovo modo di prendere appunti e di elaborare i risultati dell’audit, essendo le evidenze oggettive parte integrante del Rapporto di Audit.

It is presented the novelty of the ISO / IEC 17021:2011 most relevant to the Auditor about the registration on the Audit Report of objective evidence found to support the findings of the audit by the Auditor, that requires more attention and care and a different approach in the management of its assets.

SERGIO ATTINGENTI

Consulente e Valutatore di Sistemi di Gestione
sergioattingenti@libero.it
Share.

Comments are closed.