La verifica ispettiva è uno strumento fondamentale che le aziende possono – e devono – adottare per valutare se il proprio Sistema di Gestione per la Qualità (audit interno) o quello dei propri fornitori (audit di seconda parte) è efficace ed efficiente, se è conforme ai requisiti applicabili, se è efficacemente implementato, attuato e mantenuto, e se i suoi elementi costitutivi (Manuale Qualità, procedure, registrazioni, …) sono conosciuti e correttamente utilizzati da tutte le risorse.
Gli audit devono essere adeguatamente schedulati all’interno di un programma di audit e le registrazioni delle singole verifiche ispettive condotte – piano, report ed eventuali checklist utilizzate – devono essere conservate.
Programma di audit
La norma ISO 19011 – Linee guida per audit di sistemi di gestione definisce il programma di audit come “disposizioni per un insieme di uno o più audit pianificati per un arco temporale definito e orientati verso uno scopo specifico”. Si tratta, dunque, di quel documento che stabilisce quali e quanti saranno gli audit che un’organizzazione intende condurre nel corso di un determinato arco di tempo. Il programma di audit comprende sia gli audit interni, che eventuali audit di seconda parte condotti presso i fornitori.
Il programma di audit viene disposto periodicamente (solitamente annualmente, in sede di Riesame da parte della Direzione) e dovrebbe prendere in considerazione lo stato e l’importanza dei processi e delle aree da sottoporre a verifica, i risultati degli audit precedenti, i rischi e le opportunità associati al programma e le azioni per affrontarli, i criteri per selezionare i membri del gruppo di audit.
Il programma dovrebbe riportare almeno:
- l’identificazione dell’organizzazione oggetto di audit
- i processi/attività da sottoporre ad audit (campo di applicazione dell’audit)
- la/e data/e previste e le date effettive
- il gruppo di audit ed il responsabile del gruppo di audit
Nel preparare il programma di audit l’Organizzazione deve tenere conto che ogni processo dovrebbe essere verificato periodicamente, ad intervalli pianificati, e che le priorità degli audit o il loro numero dipende dal numero di non conformità o di azioni correttive che hanno riguardato un certo processo aziendale.
Infine, per la selezione degli auditor a cui affidare la conduzione delle verifiche ispettive, deve essere applicato il concetto di indipendenza tra responsabilità diretta del verificatore rispetto alle attività da verificare (in linea generale un auditor non può verificare un processo gestito sotto la sua diretta responsabilità).
All’interno del programma di audit possono essere riportati anche gli audit di terza parte sulla base delle informazioni fornite dall’Ente di certificazione.
Piano di audit
Il piano di audit contiene la descrizione delle attività e delle disposizioni riguardanti un audit. Si tratta, in altre parole, dell’agenda della/e giornata/e di audit.
Il piano di audit deve essere redatto dal responsabile del gruppo di audit per ogni verifica ispettiva e consegnato almeno qualche giorno prima dell’avvio dell’audit ai responsabili dei processi oggetto di audit per verifica, riesame e accettazione.
Il piano di audit dovrebbe riportare almeno:
- lo scopo dell’audit
- il campo di applicazione, i criteri dell’audit e l’identificazione delle aree oggetto di audit
- la definizione del piano di verifica e una stima del tempo previsto per la valutazione di ciascun processo (date, sedi e orari)
- la definizione delle eventuali check-list da utilizzare per l’audit e di tutti i documenti di riferimento
- la definizione di ruoli e responsabilità dei membri che compongono il gruppo di audit (compresi eventuali esperti tecnici – che forniscono conoscenze specifiche al gruppo di audit – e/o osservatori)
Rapporto di audit
Il responsabile del gruppo di audit, al termine della verifica ispettiva, dovrebbe riportare le risultanze e le conclusioni dell’audit in un documento di registrazione che sia completo, accurato, conciso e chiaro.
Tutto ciò che è stato rilevato durante l’audit e ha costituito evidenza, deve essere valutato dal gruppo di audit e classificato; solitamente si distinguono osservazioni/raccomandazioni per il miglioramento e non conformità (in genere stratificate in maggiori e minori, a seconda della gravità).
Il rapporto di audit può essere idealmente suddiviso in 3 macro-sezioni:
- Intestazione: definisce gli obiettivi dell’audit, il campo di applicazione, l’identificazione dell’organizzazione oggetto di audit, le date e i siti in cui è stato condotto l’audit, il team di audit, un riferimento al piano di audit e ad un’eventuale checklist utilizzata durante la conduzione dell’audit, l’elenco delle persone intervistate e il loro ruolo all’interno dell’organizzazione, i criteri di audit, i criteri di valutazione e una loro definizione.
- Corpo centrale: dedicato alla raccolta delle evidenze dell’audit (tramite interviste al personale aziendale, analisi dei documenti e delle registrazioni messi a disposizione, osservazione diretta dell’operatività aziendale) e alla registrazione delle risultanze – ottenute mediante confronto delle evidenze con i criteri di audit.
È fondamentale tenere in considerazione che le evidenze sono raccolte tramite un’attività di campionamento e devono sempre essere oggettive, dimostrabili e verificabili.
- Conclusioni: esprime un giudizio relativamente alla conformità del Sistema di Gestione per la Qualità verificato e alla sua efficacia nel raggiungere gli obiettivi prefissati; qui sono riportate eventuali non conformità emerse dalla verifica ispettiva, stratificate per criticità, e suggerimenti che possono guidare l’organizzazione verso un processo di miglioramento continuo.
Checklist di audit
Durante la conduzione della verifica ispettiva, l’auditor può utilizzare delle checklist dedicate (o liste di controllo). Questi documenti seguono i criteri di audit (es. i punti di una norma tecnica) e permettono di raccogliere le evidenze in modo sistematico e completo così da esprimere alla fine un giudizio di conformità del sistema. All’interno della checklist l’auditor può raccogliere le risultanze dell’audit, mentre le conclusioni sono riportate all’interno del rapporto di audit. A discrezione dell’auditor, la checklist può essere integrata all’interno del rapporto di audit ottenendo così un unico documento di registrazione.