Il capitolo 6 “Svolgimento dell’audit” tratta tutti gli aspetti relativi all’esecuzione degli audit pianificati: dall’avvio dell’attività di audit con la presa di contatto del responsabile dell’audit con i responsabili delle attività auditate, alla preparazione dell’audit con la pianificazione dell’audit e la predisposizione dei documenti di lavoro (ad es. check-list), fino alla conduzione dell’audit ed alle attività conclusive (emissione e distribuzione del rapporto, chiusura dell’audit ed attività di follow-up).
La fase preparatoria dell’audit è molto importante per evitare poi di avere problemi successivamente o di trovarsi a non essere in grado di esaminare tutto ciò che si avrebbe dovuto verificare. Questa fase è spesso svolta con frettolosità dagli organismi di certificazione che non hanno budget sufficienti per organizzare e preparare al meglio un audit in azienda; molto lavoro è affidato all’auditor che se conosce già l’azienda da precedenti visite riuscirà ad organizzarsi bene, viceversa si potrebbe rischiare di svolgere un audit troppo superficiale.
La predisposizione di un piano di audit che poi si sarà in grado di rispettare può agevolare i rapporti con il personale sottoposto a verifica, che non avrà scuse se non sarà pronto agli orari stabiliti e non potrà contestare il mancato rispetto degli orari pianificati.
La conduzione dell’audit vero e proprio inizia con la riunione di apertura o riunione iniziale che sostanzialmente non è molto diversa da quella descritta nelle precedenti versioni della norma. A seconda che si tratti di un audit di parte terza o di parte seconda, piuttosto che un audit interno, potrà variare il formalismo ed il tempo dedicato alla riunione di apertura. Anche se in organizzazioni di medio-piccole dimensioni e/o con una certa abitudine agli audit la riunione di apertura può risultare superflua è comunque opportuno confermare la programmazione degli orari delle interviste per assicurarsi che tutto si svolga senza intoppi.
Il riesame della documentazione dovrebbe essere previsto in molti audit per valutare la conformità delle regole stabilite ai criteri dell’audit (tipicamente una normativa di riferimento) prima di valutare se le procedure sono attuate in modo conforme.
Naturalmente in funzione degli esiti di eventuali audit precedenti, delle anomalie rilevate e delle azioni correttive intraprese dall’organizzazione auditata, questa fase preliminare all’avvio dell’audit vero e proprio sarà più o meno estesa.
La comunicazione fra i membri del gruppo di audit e fra questi e l’organizzazione soggetta a verifica è molto importante per rivalutare periodicamente l’avanzamento dell’audit e, in caso di necessità, riprogrammare attività anche riassegnando singoli compiti. La responsabilità principale di quest’attività è ovviamente del responsabile del team di audit.
Questo aspetto spesso viene mal gestito in alcuni audit di certificazione e così si finisce per dilungare eccessivamente la verifica o dedicare un tempo insufficiente alla verifica di processi importanti.
Se in alcuni casi è il piano di audit ad essere non ben progettato, in altri lo svolgimento dell’audit accumula ritardi che il team di audit non cerca di recuperare.
Infatti spesso il piano di audit rispecchia sequenze poco condivisibili (ad es. svolgere la verifica del riesame da parte della direzione all’inizio dell’audit piuttosto che alla fine quando l’auditor si sarà fatto un’idea migliore delle prestazioni dei processi e dei relativi indicatori) oppure relega processi primari nell’ultimo quarto del tempo di audit, quando potrebbero essersi accumulati ritardi significativi ed il personale coinvolto potrebbe avere la necessità di uscire dall’azienda.
Viceversa anche con un piano ben progettato si possono registrare ritardi notevoli perdendosi in discussioni lunghissime con il personale dell’azienda; soprattutto nella prima parte della mattinata i tempi sono spesso molto allungati fra ritardi iniziali, chiacchere e caffè; come in qualsiasi attività lavorativa del resto.
L’assegnazione di ruoli e responsabilità a guide ed osservatori può riguardare soprattutto audit di parte terza (di certificazione) nei quali alcuni organismi richiedono esplicitamente che l’audit sia sempre accompagnato in azienda da personale incaricato, anche per motivi di sicurezza fisica e di riservatezza.
Il ruolo degli osservatori va confinato nel loro ambito: spesso i consulenti dell’azienda rispondono in vece dei responsabili dell’azienda (per colpa un po’ dell’uno, un po’ dell’altro) e questo non è consentito dai regolamenti ACCREDIA; in altri casi gli osservatori in addestramento dell’Organismo di Certificazione si spingono un po’ troppo oltre i propri compiti e partecipano attivamente alla verifica ponendo domande ed esprimendo giudizi.
Riguardo alla raccolta e verifica delle informazioni, durante l’audit, dovrebbero essere raccolte informazioni verificabili tramite adeguato campionamento. Tali informazioni, se supportate da evidenza oggettiva, costituiscono delle evidenze (prove) che possono essere valutate in base ai criteri dell’audit e porteranno alle risultanze dell’audit che, opportunamente riesaminate, determineranno le conclusioni dell’audit (Conformità o non conformità del processo esaminato).
I metodi di raccolta delle informazioni comprendono interviste, osservazioni e riesame dei documenti, comprese le registrazioni (naturalmente di qualsiasi tipo e su qualsiasi supporto).
Su campionamento e metodi di raccolta delle informazioni la norma richiama i punti B.3, B.5, B6 e B.7 dell’Appendice B.
Riguardo al campionamento, esso viene distinto in campionamento basato su giudizio e campionamento statistico. Normalmente viene utilizzato solo quello del primo tipo, mentre il secondo mi sembra francamente impraticabile negli audit dei sistemi di gestione, salvo casi particolari nei quali vengono identificati a monte i macro-elementi potenzialmente esaminabili e, quindi, si stabilisce quali verificare nell’audit.
Una buona tecnica utilizzata nella pratica è quella di esaminare un certo numero di documenti o attività ed approfondire l’esame su altri elementi simili solo se si riscontrano non conformità.
Di fatto negli audit di certificazione il campionamento è scarsamente significativo dal punto di vista statistico. Facciamo un esempio: se un’azienda riceve 1000 ordini cliente all’anno e svolge 10 eventi formativi all’anno un campionamento omogeneo prevedrebbe che, a fronte della verifica di 2 registrazioni dell’addestramento/formazione (20% del totale), venissero esaminati 200 ordini cliente, cosa che in realtà non avviene mai.
La produzione delle risultanze dell’audit dovrebbe comprendere non conformità, conformità/buone prassi, opportunità di miglioramento e raccomandazioni per l’organizzazione. Le non conformità possono essere classificate in gradi di severità differenti.
La preparazione delle conclusioni dell’audit dovrebbe essere preceduta da una riunione del team di audit per riesaminare tutte le risultanze e concordare le conclusioni dell’audit. Inoltre dovrebbero essere trattate le cause radice delle non conformità e le azioni conseguenti richieste.
La riunione di chiusura dell’audit ha l’obiettivo di presentare i risultati dell’audit alla direzione dell’organizzazione ed ai responsabili delle funzioni/processi verificati. In essa dovrebbero essere discussi i rilievi ed eventuali divergenze fra il team di audit ed i responsabili dell’organizzazione dovrebbero essere risolte (ed in caso negativo comunque registrate), nonché le azioni da intraprendere post-audit.
Il rapporto di audit dovrebbe comprendere o fare riferimento a:
a) gli obiettivi dell’audit;
b) il campo di applicazione dell’audit, in particolare l’identificazione delle unità organizzative e funzionati o dei processi sottoposti ad audit;
c) l’identificazione del committente dell’audit;
d) l’identificazione del gruppo di audit e dei partecipanti all’audit della organizzazione oggetto dell’audit;
e) le date e i siti dove sono state condotte le attività di audit;
f) i criteri dell’audit;
g) le risultanze dell’audit e le relative evidenze;
h) le conclusioni del l’audit;
i) una dichiarazione sul grado in cui i criteri di audit sono stati soddisfatti.
Il rapporto di audit può anche includere o fare riferimento a:
- il piano di audit, compresa la pianificazione temporale;
- una sintesi del processo di audit (compreso qualsiasi ostacolo incontrato che può ridurre l’affidabilità del le conclusioni del l’audit);
- la conferma che gli obiettivi dell’audit sono stati raggiunti nell’ambito del campo di applicazione del l’audit, in conformità al piano di audit;
- qualsiasi area non coperta (sebbene compresa nel campo di applicazione dell’audit);
- una sintesi delle conclusioni dell’audit e delle principali risultanze dell’audit che le supportano;
- eventuali opinioni divergenti non risolte tra il gruppo di audit e l’organizzazione oggetto dell’audit;
- le opportunità di miglioramento, se specificate nel piano di audit;
- le buone prassi identificate;
- i piani concordati di azioni conseguenti, se presenti;
- una dichiarazione sulla natura riservata dei contenuti;
- qualsiasi implicazione per il programma di audit o per gli audit successivi;
- la lista di distribuzione del rapporto di audit.
La norma, infine, ricorda che il rapporto di audit può essere sviluppato prima della riunione di chiusura (cosa che avviene nella maggioranza dei casi).
La distribuzione del rapporto di audit potrebbe essere posticipata e comunque dovrebbe avvenire senza eccessivi ritardi indirizzandolo a coloro i quali era previsto nel piano che lo ricevessero.
La chiusura dell’audit avviene al termine di tutte le attività previste. La conservazione ed eventuale divulgazione dei rapporti dovrebbe avvenire secondo quanto concordato e riportato nelle procedure di riferimento, rispettando il livello di riservatezza richiesto.
La conduzione di azioni conseguenti all’audit riguarda l’attuazione di correzioni, azioni correttive o preventive e di miglioramento, eventualmente concordate in sede di audit, la cui efficacia potrà essere valutata in un audit successivo.
Il capitolo 7 della norma riguarda la competenza e valutazione degli auditor. Se la competenza viene determinata come ormai usuale nelle norme sui sistemi di gestione (istruzione, formazione/addestramento, conoscenze, esperienze, …), la determinazione e valutazione delle competenze di auditor e responsabili di gruppi di audit diventa un’attività molto articolata, descritta nella norma.
Oltre che competente l’auditor deve possedere alcune caratteristiche personali e comportamentali in linea con i principi dell’audit sopra esposti (comportamento etico, essere diplomatico, con mentalità aperta, ecc.).
Gli auditor dovrebbero possedere conoscenze ed abilità di carattere generale e specifiche per poter operare efficacemente nelle discipline per le quali sono impiegati (e vengono, dunque, qualificati), così come descritto nella norma. Tra le competenze a carattere generale che ogni auditor dovrebbe possedere ci sono conoscenze di carattere legale ed economico legate all’ funzionamento delle imprese.
Per il responsabile del gruppo di audit sono richieste capacità aggiuntive e maggior esperienza nella conduzione di audit su sistemi di gestione.
I metodi di valutazione dell’auditor previsti dalla norma sono: riesame delle registrazioni, informazioni di ritorno dal campo, intervista, osservazioni del comportamento, esame (orale/scritto), riesame successivo all’audit (rapporto di audit, interviste con il responsabile del gruppo di audit, ecc.).
Infine la norma si concluse con due utili appendici:
- Appendice A: Guida ed esempi illustrativi delle conoscenze e abilità degli auditor specifiche della disciplina.
- Appendice B: Guida supplementare destinata agli auditor per la pianificazione e la conduzione di audit.
In conclusione si tratta di una norma di contenuti molto ampi, considerando anche le appendici appena citate. Ne consegue che la preparazione di un auditor che sia in grado di applicare le ormai note tecniche di audit, per rendere l’audit estremamente efficace e ad alto valore aggiunto, deve necessariamente comportare, oltre alla lettura della norma e di altro materiale didattico correlato, un certo numero di ore di formazione frontale, qualche esercitazione pratica ed un po’ di esperienza sul campo come osservatore.