Nella sezione 4 “Requisiti generali”, al paragrafo 4.1 “Imparzialità e indipendenza” viene sviluppato il “nuovo” concetto di imparzialità e vengono stabiliti due nuovi requisiti:
- Al punto 4.1.1 è richiesta l’identificazione dei rischi per l’imparzialità con continuità e anche delle azioni per eliminare o minimizzare i rischi identificati: è necessaria una mappatura dei rischi che minacciano l’imparzialità dell’OdI ed un’analisi degli stessi finalizzata a ridurne l’impatto possibile.
- Al punto 4.1.5 è richiesto l’impegno dell’alta direzione a garanzia dell’imparzialità (La Direzione dell’OdI è garante dell’imparzialità dello stesso e dei suoi ispettori).
In questo ambito (indipendenza dell’OdI) rientra la classificazione degli OdI nei tipi A, B e C, le cui caratteristiche sono ampiamente descritte nell’appendice della norma e nel regolamento RG.03: tali caratteristiche non son state variate sostanzialmente rispetto al passato, ma sono stati solo forniti dei chiarimenti. In particolare l’OdI di tipo A non deve essere coinvolto in attività riguardanti “gli elementi sottoposti a ispezione”, si precisa che viene abolita la dicitura “o di oggetti similari o complementari” . L’interpretazione di tale eliminazione è però ancora incerta: l’OdI può essere coinvolto nella progettazione, esecuzione, installazione, manutenzione, commercializzazione di prodotti analoghi a quelli oggetto di ispezione?
A ciò è legato il concetto di imparzialità che deve essere ora dimostrato dall’OdI attraverso un’analisi dettagliata (risk assessment) finalizzata ad identificare i possibili rischi di imparzialità.
Il timore degli enti normatori, e di quelli di accreditamento a cascata, è quello che l’obiettività di giudizio dell’organismo e dei suoi ispettori possa essere messa a repentaglio da possibili conflitti di interesse, basso grado di indipendenza rispetto al soggetto responsabile dell’oggetto ispezionato, ecc.. Anche se l’obiettivo è condivisibile, credo che si stia fornendo eccessiva importanza ad aspetti che rischiano di essere puramente formali e poco sostanziali. Ritengo, infatti, che il principale rischio all’imparzialità dell’OdI (e dei suoi ispettori) sia costituito dalla dipendenza economica e finanziaria dal Committente che paga l’ispezione, spesso con scopi affini al responsabile dell’oggetto ispezionato, se non coincidente con esso. Su tale rischio non è possibile intervenire con azioni efficaci da parte dell’OdI, ma gli enti di accreditamento e gli organi che li presiedono non penso stiano facendo nulla per ridurre questo rischio. Del resto anche il sistema delle certificazioni prevede il pagamento dell’organismo di certificazione da parte dell’organizzazione certificata.
Il rischio è, dunque, quello che venga creata un’infrastruttura formale e documentale per garantirsi (OdI ed enti di accreditamento) sull’imparzialità nella forma, ma non nella sostanza.
Altro punto importante della sezione 4 è quello della Riservatezza (4.2), che è stato aggiornato ed esteso specificando l’obbligo di informare il cliente nel caso in cui si sia costretti a comunicare informazioni riservate, ad esempio per obblighi di legge. La riservatezza dovrà poi essere declinata nel modo opportuno all’interno dell’OdI e del suo corpo ispettori, con opportune procedure. Ricordo al proposito che la Riservatezza è uno dei tre elementi (gli altri sono l’Integrità e la Disponibilità) su cui si basa la sicurezza delle informazioni, il cui sistema di gestione viene certificato dalla ISO 27001.