Audit da remoto ai tempi del Covid-19

Dopo l’introduzione – da parte di ACCREDIA su indicazioni IAF (si veda il documento IAF ID03 “Management of Extraordinary Events or Circumstances Affecting  ABs”,  CABs  and  Certified  Organization e la circolare ACCREDIA DC 02/2020) – della modalità di effettuazione degli audit a distanza legati alla certificazione dei sistemi di gestione, il recente articolo L’AUDIT A DISTANZA. CONSIDERAZIONI GENERALI, MODALITÀ DI GESTIONE E SPUNTI  OPERATIVI pubblicato sul sito ACCREDIA, fornisce alcuni spunti di riflessione sulle modalità operative di gestione degli audit da remoto che gli Organismi di Certificazione (OdC) hanno iniziato a svolgere per mantenere il ritmo delle attività di sorveglianza e rinnovo delle certificazioni dei sistemi di gestione.

L’attività di auditing ha evidentemente un discreto impatto sui contatti interpersonali: interviste a varie persone, consultazione di documenti cartacei, visualizzazione di documenti digitali e siti internet, visione di reparti produttivi, ecc..

Per non bloccare per molto tempo queste attività, soprattutto in questa Fase 2 dell’emergenza Coronavirus nella quale quasi tutte le attività produttive sono riprese, anche se molte persone continuano giustamente a lavorare in smartworking, gli audit in campo sarebbero comunque difficili da condurre nel rispetto dei vari protocolli aziendali che prevedono misure molto rigide nei confronti dei fornitori che potrebbero avere accesso all’azienda, compresi i consulenti e gli auditor degli OdC. Sebbene le regole applicate siano molto disomogenee e i protocolli approvati dal Governo siano oggi esagerati se applicati a singole persone che accedono ai locali aziendali, quali auditor e consulenti, l’approccio degli OdC sembra sia fortemente orientato a svolgere comunque gli audit pianificati con le modalità “a distanza”, come previsto da ACCREDIA.

L’articolo sopra menzionato – sebbene non costituisca una regola da seguire da parte degli OdC – fornisce molti interessanti spunti di riflessione per comprendere se svolgere gli audit a distanza, quando svolgerli e come svolgerli.

Questa opportunità, commercialmente molto favorevole per gli OdC che altrimenti si vedrebbero bloccate le attività ed i conseguenti ricavi per diverso tempo, dovrebbe essere sfruttata cum grano salis, effettuando preliminarmente una valutazione dei rischi basata su diversi elementi, che comprendono la tipologia dell’organizzazione auditata, il tipo di verifica, la norma di riferimento, la complessità dell’organizzazione e del suo sistema di gestione, ecc.

Il rischio che si corre nell’attuare questa nuova modalità è quello di non svolgere un audit efficace, ovvero di effettuare delle valutazioni non sufficientemente esaustive e corrette, ovviamente a tutto “vantaggio” dell’organizzazione auditata che si vedrebbe così ad essere certificata, ovvero a continuare ad esserlo, con una certa facilità.

L’analogia con la Didattica a Distanza (DAD) è pienamente calzante: come la verifica delle competenze degli alunni deve cambiare modalità per garantire un giusto livello di severità della scuola, così devono cambiare le modalità di raccolta e valutazione delle evidenze dell’audit.

Il rischio vero, però, è quello di sminuire ulteriormente un settore (quello delle certificazioni del sistema di gestione) che già ha perso molta credibilità a causa di audit troppo soft.

Certe tecniche estremamente efficaci utilizzate negli audit degli anni novanta, e non sempre riprese nel corso degli anni 2000, potrebbero non essere applicabili negli audit a distanza. Ad esempio prendere un DDT a caso di un prodotto in fase di spedizione e ripercorrere tutta la vita del prodotto “all’indietro”, ovvero richiedere evidenza dei controlli di produzione, dei controlli sulla materia prima, dei controlli sulle lavorazioni esterne, della qualifica dei relativi fornitori, degli ordini/contratti con i fornitori, della gestione dell’ordine del cliente (e relativi termini di consegna), dell’offerta e magari anche della progettazione del prodotto, se applicabile. Oppure scegliere a caso una commessa, un ordine o un prodotto e poi verificare tutti gli annessi e connessi.

Anzitutto bisognerebbe stabilire con precisione modalità e mezzi di conduzione di un audit a distanza. Ad esempio, quale piattaforma collaborativa utilizzare: quella stabilita dall’OdC o quella utilizzata dal cliente/organizzazione. La scelta non può essere dettata dal caso o dall’auditor di turno, spesso un consulente esterno, che magari sceglie a sua discrezione una piattaforma che conosce meglio. Infatti, nel corso dell’audit possono transitare anche informazioni di una certa riservatezza e l’impiego di una piattaforma che garantisca adeguate misure di sicurezza e rispetto per la privacy dei dati personali usata in modo corretto è sicuramente un requisito necessario. Recentemente si sono verificate violazioni di dati su piattaforme molto diffuse e, inoltre, la conservazione dei dati in cloud ubicati fuori UE non garantisce sempre il rispetto del Regolamento UE 679/2016 (GDPR).

Dato che l’audit è svolto sotto la responsabilità dell’OdC è il medesimo a dover assicurare la sicurezza dei dati che vengono trasmessi dall’organizzazione, la quale potrebbe avere qualcosa da obiettare nel fornire direttamente su file alcune informazioni riservate: un conto è far visionare un’offerta commerciale ad un auditor che viene presso la mia sede e che neanche volendo riuscirebbe a ricordarsi i dettagli una volta uscito dall’azienda, un conto è fornire direttamente all’auditor il file completo dell’offerta con prezzi, codici di articoli, modalità di fornitura, ecc. Se anche solo per superficialità o per inadeguatezza delle misure di sicurezza del notebook dell’auditor la stessa offerta finisse nelle mani di un concorrente quali sarebbero le conseguenze? Normalmente gli auditor esterni all’Ente di Certificazione utilizzano propri notebook, non controllati dall’OdC stesso, che vengono portati in viaggio e possono essere smarriti o rubati…. dovrebbero avere tutti gli hard disk cifrati.

Probabilmente sarebbe opportuno che certi documenti contenenti informazioni più riservate (o comunque classificati) non siano trasmessi dall’organizzazione auditata all’auditor via e-mail o condivisi attraverso la piattaforma di comunicazione, ma semplicemente visualizzati condividendo uno schermo, come tutti i software di videoconferenza consentono, da Microsoft Teams a Google Meet, da Skyoe a GoToMeeting, a Webex, ecc.

Alcune informazioni raccolte dall’auditor sono contenute in documenti digitali (es. verbali di riesame della direzione, rapporti di audit interni, procedure, ecc.) altri sono invece reperibili da un sistema informatico, dunque si può tranquillamente prevedere la condivisione dello schermo da parte di un responsabile dell’organizzazione che apre un sistema gestionale e mostra – esattamente come farebbe durante un audit in presenza – gli ordini del cliente, gli ordini di produzione, la pianificazione della produzione, i controlli eseguiti, ecc.. In questo modo l’auditor può mantenere il controllo dell’audit e farsi mostrare l’elenco di tutti gli ordini o commesse e scegliere autonomamente quella/a da visionare. In molte realtà aziendali il sistema gestionale produce offerte, conferme d’ordine del cliente, ordini di acquisto, ordini di produzione ed altro già in formato pdf pronto da essere stampato per i reparti interni o per essere trasmesso via e-mail al cliente o al fornitore, dunque trasmettere o semplicemente visualizzare nella video-riunione (per i motivi di riservatezza di cui sopra) questi documenti all’auditor dovrebbe essere molto semplice.

Le classiche riunioni di apertura e chiusura e le interviste a responsabili normalmente svolte negli uffici possono essere tranquillamente condotte in conference call con il supporto della condivisione dello schermo per visionare documenti in formato digitale oppure documenti cartacei opportunamente scansionati al momento, ma come svolgere le verifiche nei reparti produttivi?

La valenza di un audit in un’azienda manifatturiera è fortemente in dubbio: l’audit della produzione è praticamente obbligatorio in tutte le aziende produttive e potrebbe essere condotto efficacemente solo in certe realtà, connettendosi a terminali dell’ufficio produzione e controllo qualità, ma anche attraverso smartphone connessi con la videocamera accesa per poter visionare i reparti produttivi, intervistare operatori in produzione, raccogliere evidenze di strumenti utilizzati, macchine di produzione, materiale immagazzinato e così via. È evidente che l’azienda potrebbe “guidare” l’audit un po’ più del solito rispetto all’audit in presenza.

Uno degli elementi che ACCREDIA invita a considerare nella valutazione del rischio sulla conduzione dell’audit è costituito dalla conoscenza dell’organizzazione da parte dell’auditor: naturalmente un auditor che ha visitato già l’azienda due o tre volte è in grado di valutare anche da remoto cosa è opportuno visionare e cosa no. Nelle indicazioni di ACCREDIA si invita gli OdC a visionare anche i layout/planimetrie degli stabilimenti dell’organizzazione per decidere quali reparti sarebbe opportuno visionare, se sono stati visionati in passato e così via.

Il documento IAF MD4:2018 (IAF MANDATORY DOCUMENT FOR THE USE OF INFORMATION AND COMMUNICATION TECHNOLOGY FOR AUDITING/ASSESSMENT PURPOSES) costituisce la guida per gli OdC per la conduzione degli audit da remoto, così come la circolare ACCREDIA e il documento IAF ID03, ma poiché permangono molti dubbi sull’applicabilità di questa modalità in diversi contesti sono state pubblicate anche delle FAQ sul sito IAF (https://iaffaq.com/).

Certamente permangono alcune perplessità sull’applicazione degli audit a distanza nella verifica di sistemi di gestione ISO 14001, ISO 27001 e altri, piuttosto che di sistemi ISO 9001. Oltre che all’applicabilità ad aziende di produzione, imprese di costruzione, installatori e manutentori di impianti, società di ingegneria con direzioni lavori.

Infine, resta da valutare la competenza dell’auditor nel gestire le tecnologie utilizzate per la conduzione dell’audit a distanza ed eventualmente a colmarle.

Sicuramente l’audit a distanza o da remoto è una grossa opportunità per mantenere la continuità operativa degli Organismi di Certificazione e di tutto il mondo delle certificazioni e dell’accreditamento (anche ACCREDIA ha attuato gli audit da remoto), contenendo anche i costi di spostamento degli auditor, ma è importante mantenere alta l’attenzione affinché questa metodologia non riduca l’audit di certificazione ad una mera formalità, minacciando l’attendibilità di tutto il sistema delle certificazioni.

La nuova edizione della norma ISO 22301:2019 per la certificazione della business continuity

Soprattutto in questo periodo è estremamente attuale essere in grado di pianificare la continuità operativa delle imprese, almeno per quanto possibile.

Anche le aziende più preparate a gestire la business continuity, forse, non hanno previsto una pandemia come quella del Covid-19, o forse si erano prefigurati scenari diversi, nei quali le persone non sono in grado di andare al lavoro a causa di epidemie di influenza o altre cause. In questa fase che stiamo attraversando l’assenza di personale non è dovuta – nella maggior parte dei casi – allo stato di malattia delle persone, ma alla necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone sono quasi tutte operative ed in grado di lavorare, ma non possono accedere ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata, affrontare situazioni di emergenza come questa che stiamo attraversando? O meglio, come potrà pensare di affrontarle in futuro se si verificheranno?

Leggi tutto

Il (web)marketing ai tempi del GDPR

Con l’avvento del GDPR si è complicata la gestione della privacy dei destinatari delle azioni di web marketing, attraverso strumenti quali mail-marketing, newsletter, social network, cookie, pixel, beacon, ecc.. Con l’evoluzione della tecnologia legata ai cookie ed altre tecnologie similari anche una semplice navigazione di un sito internet a scopo puramente informativo sta diventando sempre più complicata, sia per il gestore del sito, sia per i “naviganti” che si trovano a dover accettare cookie policy, informative privacy e trattamenti consentiti che se si leggesse tutto si impiegherebbe più tempo rispetto a quello dedicato alla lettura dei contenuti veri del sito. Leggi tutto

Pubblicato l’Elenco degli Innovation Manager

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Leggi tutto

Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.

Leggi tutto

Chi è il DPO?

privacyChi è realmente il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO), figura prevista dal Regolamento UE 679/2016 (GDPR)?

Forse sarebbe meglio rispondere anche ad altre domande:

  • Cosa fa il DPO?
  • Quali requisiti deve possedere?
  • A chi serve il DPO?

Il Garante italiano per la Protezione dei Dati Personali e le Linee-guida del WP243, sviluppate dall’apposito Gruppo di Lavoro Articolo 29 a livello europeo, ci vengono in aiuto, ma non bastano a disperdere il polverone che si sta facendo da ogni parte attorno a questa figura.

Si legge da varie fonti di “Corsi specialistici per DPO”, “Esami per qualifiche da DPO”, “migliaia di posti di lavoro come DPO” e così via. È tutto al vero?

Leggi tutto

Come sta la privacy ad un anno dall’attuazione del GDPR?

privacyIl Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese. Leggi tutto

Opportunità per le imprese con il Piano Industria 4.0

In questi mesi si sente parlare molto delle agevolazioni fiscali per le imprese relative al Piano Industry 4.0, promosso già dal Governo Renzi in autunno 2016. Cerchiamo, in questo articolo, di capire meglio quali sono le reali opportunità per le imprese ed i vincoli che la Legge pone per usufruire degli incentivi, anche per capire in quali situazioni conviene realmente investire in questa direzione, al fine di non trovarsi brutte sorprese ad investimenti effettuati.

Leggi tutto

RPO e RTO: come progettare il disaster recovery

In questo articolo parleremo ancora di business continuity, ovvero di business continuity plan ed in particolare della progettazione delle procedure di disaster recovery.

Molte organizzazioni che non predispongono un vero e proprio piano di continuità operativa (o business continuity plan, BCP), comunque hanno una procedura di disaster recovery, più o meno evoluta. Purtroppo, però, questa attività viene delegata quasi interamente ai responsabili ICT senza coinvolgere il management, i responsabili dei processi primari di business ed in particolare di quelli più critici. Leggi tutto

Impatti del Regolamento Privacy sullo sviluppo software

privacyIl Nuovo Regolamento Europeo sulla Privacy (GDPR), emanato lo scorso maggio ed in vigore entro fine maggio 2018, pone nuove questioni relativamente all’impiego di programmi software per l’elaborazione di dati personali, in particolare se si tratta anche di dati c.d. “sensibili” secondo la vecchia definizione del D. Lgs 196/2003.

Infatti il nuovo Regolamento Europeo sulla privacy (“Regolamento UE 2016/679 del Parlamento europeo”) impone alle organizzazioni che intendono effettuare trattamenti di dati personali di “progettare” il sistema in modo tale che sia conforme fin da subito (Privacy by design ) alle regole della privacy, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento, quando identificato. Leggi tutto