Se siete auditor interni di sistemi di gestione per la qualità, potete passare al prossimo articolo.
Se, invece, vorreste essere auditor interno o vorreste meglio comprendere che cosa fa quel o quella collega che almeno una volta all’anno viene a farvi domande strane e a controllare che quei moduli che usate tutti i giorni siano compilati correttamente, allora questo è l’articolo che fa per voi.
Come abbiamo visto un paio di settimane fa in questo articolo, l’auditor interno è un auditor che si occupa di verificare la rispondenza ai requisiti dell’organizzazione committente e oggetto dell’audit, ad esempio l’azienda nella quale lavora o l’azienda che ha richiesto tale servizio.
Ciò significa che l’auditor interno è colui che, definiti i requisiti applicabili all’organizzazione, si occupa di verificare che essa ne sia conforme. Questa verifica prende il nome di audit interno.
L’audit interno è programmato come da programma di audit e viene eseguito sulla base di un piano di audit. La differenza fra programma e piano è che il programma di audit stabilisce quali e quanti saranno gli audit che un’organizzazione eseguirà o subirà nel corso di un determinato arco di tempo (solitamente 12 mesi), mentre il piano costituisce l’agenda della/e giornata/e di audit. Il programma indicherà, quindi, non solo quando sono pianificati gli audit interni ma anche, ad esempio, quando è previsto che vengano eseguiti gli audit ai fornitori o gli audit da parte degli enti di certificazione. Il piano di audit, invece, stabilisce la data dell’audit, gli orari delle diverse attività, quali sono i requisiti di riferimento per l’audit (i criteri di audit), il campo di applicazione, gli obiettivi dell’audit, quali saranno i processi oggetto di verifica, quali le funzioni aziendali coinvolte, e chi sarà responsabile di condurre l’audit. Come già visto negli articoli precedenti, infatti, l’audit può essere condotto da un auditor singolo oppure da un team di audit, guidato da un lead auditor. Uno degli aspetti più importanti da considerare con attenzione nella definizione di un piano di audit è l’indipendenza dell’auditor rispetto al processo verificato. Questo è uno dei motivi per cui, molto spesso, le organizzazioni scelgono di esternalizzare l’attività di audit interno, almeno per una parte dei processi aziendali.
Il giorno stabilito, l’auditor o il team di audit avvia l’audit con una riunione di apertura, a cui di solito partecipano, almeno, la direzione o il suo rappresentante e il responsabile qualità. Durante la riunione di apertura l’auditor si presenta e, se del caso, vengono presentati i membri del team di audit, vengono confermati i termini dell’audit (ossia obiettivi, campo di applicazione, criteri dell’audit, piano e tempi previsti), vengono stabilite le modalità operative con cui l’audit si svolgerà: mediante interviste, con qualche collegamento da remoto, grazie all’accesso alle registrazioni – ossia le evidenze documentali dell’organizzazione, etc. Durante la riunione di apertura, inoltre, vengono confermati tutti gli aspetti relativi alla riservatezza delle informazioni che saranno raccolte durante la verifica e alla sicurezza del gruppo di audit (eventuali DPI da indossare, particolari procedure di sicurezza da seguire, etc.). In questo contesto, l’auditor spiega anche ai rappresentanti dell’organizzazione presenti alla riunione come verranno classificate e riportate le risultanze dell’audit.
Al termine della riunione di apertura inizia lo svolgimento dell’audit. Gli auditor raccolgono, tramite campionamento, informazioni verificabili relative ai processi dell’organizzazione, che vengono registrate come evidenze dell’audit. Solitamente gli auditor utilizzano delle checklist che seguono i punti della/e norma/e applicabile/i a garanzia della completezza della loro analisi. Le principali fonti di informazioni a cui attingono gli auditor sono le persone stesse che vengono intervistate, l’osservazione diretta dei processi e delle attività svolte dalle risorse, l’esame di documenti e registrazioni che il personale mette a disposizione. È molto importante che gli auditor, durante la fase di raccolta delle evidenze, comunichino al personale eventuali situazioni di rischio grave che vengono intercettate e che richiedono interventi immediati, così come eventuali informazioni su aspetti rilevanti, anche se al di fuori dello scopo dell’audit (ad esempio se viene intercettata una violazione di legge che esula dall’ambito di applicazione dell’audit).
Una volta terminata la raccolta delle evidenze, queste vengono messe a confronto con i criteri dell’audit, ossia con i requisiti applicabili, e viene valutato se tali evidenze siano o meno conformi a tali requisiti, se vi siano deviazioni e/o se vi siano delle opportunità di miglioramento da segnalare all’organizzazione. Si ottengono così le risultanze dell’audit, che vengono poi registrate nel rapporto di audit. Vengono quindi tratte dall’auditor e, se del caso, dal team di audit le conclusioni dell’audit in merito alla conformità del sistema verificato e alla sua efficacia nel raggiungere gli obiettivi e viene preparato il report di audit. Il rapporto di audit dovrebbe comprendere: obiettivi dell’audit, campo di applicazione, identificazione dell’organizzazione oggetto di audit e del team di audit, date e siti dove l’audit è stato condotto, criteri dell’audit, risultanze, conclusioni dell’audit e una dichiarazione sul grado in cui i criteri di audit sono stati soddisfatti.
L’audit si conclude quindi con una riunione di chiusura durante la quale l’auditor/lead auditor presenta le risultanze e conclusioni dell’audit, spiega all’organizzazione tutte le eventuali non conformità individuate e le raccomandazioni verbalizzate, descrivendo le situazioni incontrate in audit che hanno determinato quelle risultanze. Quando ci sono non conformità, è previsto che l’organizzazione prepari un piano di azioni correttive. Durante la riunione di chiusura vengono anche concordati i tempi di presentazione di questo piano da parte dell’azienda al gruppo di audit. Alla riunione di chiusura partecipano, solitamente, gli stessi membri dell’organizzazione che hanno presenziato la riunione di apertura.
In conclusione, l’audit interno – sia esso condotto da personale interno o demandato a terzi – è un momento di autovalutazione rispetto ai requisiti applicabili all’organizzazione, finalizzato a verificare che tutti i processi siano applicati e mantenuti correttamente sotto controllo. A prescindere dal fatto che per le organizzazioni dotate di un sistema di gestione certificato l’audit interno sia un requisito normativo, quindi, è possibile dire che tale attività assume un valore strategico per qualunque azienda operi in un settore normato, a garanzia della corretta gestione delle proprie attività interne.
