La norma internazionale ISO/IEC 17021:2011 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – revisione della ISO/IEC 17021:2006, applicabile agli organismi che effettuano la certificazione dei sistemi di gestione aziendale (SGQ, SGA, SCR, SSI, FSM, ecc) è entrata completamente in vigore il  1° febbraio 2013 termine ultimo per l’implementazione della norma da parte degli Organismi di Certificazione.

La norma prescrive nuovi requisiti per la conduzione degli audit da parte degli organismi di certificazione e per la competenza degli auditor, con l’obiettivo di accrescere il valore della certificazione per le organizzazioni del settore pubblico e privato e per i loro utenti, assicurando l’affidabilità dei certificati ISO 9001, 14001, 22000 e altri.

Nel corso dei prossimi mesi vedremo se gli intendimenti dell’Ente normatore saranno stati rispettati in un settore, quello delle certificazioni, ove il mercato e l’opinione pubblica ha sminuito il valore delle certificazioni ISO da quando, ad inizio anni ’90, le prime aziende italiane avevano approcciato entusiaste questo nuovo sistema per attestare la propria attenzione alla qualità del prodotto e del servizio ed alla soddisfazione del cliente.

Oggi, leggendo la nuova norma con l’esperienza dell’ultimo decennio di certificazioni, verrebbe da dubitare che le cose cambino solo perché l’ISO ha deciso di revisionare la norma precedente che, comunque, avrebbe già dovuto dare adeguate garanzie al mercato sulle certificazioni rilasciate.

Sarebbe opportuno riflettere su alcuni passi della norma per ripensare a quello che è stato fatto in questi ultimi anni.

Sui requisiti relativi a indipendenza, imparzialità ed assenza di conflitti di interesse non varrebbe la pena di perdere tempo in “valutazioni dei rischi di imparzialità”, tanto il più grosso conflitto di interesse è sicuramente quello che l’organizzazione certificanda è il cliente dell’Organismo di Certificazione (OdC) e che, quindi, lo paga direttamente: come potrà l’OdC mettersi di traverso nei confronti di chi lo paga? Di questi tempi poi…

Ad esempio la ISO 17021 prescrive che l’audit di fase 1 (o stage 1, noto anche come verifica documentale) deve essere eseguito per:

a)      sottoporre ad audit la documentazione del sistema di gestione del cliente (tutta o solo il Manuale Qualità e le procedure obbligatorie per lo schema SGQ?);

b)      valutare la localizzazione e le condizioni particolari del sito del cliente e intraprendere uno scambio d’informazioni con il personale del cliente al fine di stabilire il grado di preparazione per l’audit di fase 2 (il classico “giro in azienda” per prendere visione di tutte le attività svolte, dei vari stabilimenti ed unità operative e per rendersi conto di eventuali criticità dal punto di vista della qualità del prodotto, della sicurezza o delle disposizioni ambientali a seconda dello schema applicabile);

c)      riesaminare lo stato e la comprensione del cliente riguardo i requisiti della norma, con particolare riferimento alla identificazione di prestazioni chiave o di aspetti, processi, obiettivi e funzionamento significativi del sistema di gestione (ovvero: il cliente ha capito cosa significa certificazione del sistema di gestione?);

d)      raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, i processi e la(e) localizzazione(i) del cliente, compresi i relativi aspetti legali e regolamentati e la conformità ad essi (per esempio qualità, ambiente, aspetti legali relativi all’attività del cliente, rischi associati, ecc.);

e)      riesaminare l’assegnazione di risorse per l’audit di fase 2 e concordare con il cliente i dettagli dell’audit di fase 2 (se non ci si è capiti bene in fase di offerta e si ritiene che siano necessari più giorni/uomo del previsto per svolgere l’audit è il momento di dirlo);

f)       mettere a fuoco la pianificazione dell’audit di fase 2, acquisendo una sufficiente conoscenza del sistema di gestione e delle attività del sito del cliente, con riferimento ai possibili aspetti significativi (raccolti tutti gli elementi importanti ci si aspetta un piano di audit basato sui processi reali dell’azienda e ben strutturato);

g)      valutare se gli audit interni e il riesame da parte della direzione siano stati pianificati ed eseguiti e che il livello di attuazione del sistema di gestione fornisca l’evidenza che il cliente è pronto per l’audit di fase 2 (normalmente in fase di verifica di stadio 1 non sono stati fatti tutti gli audit interni e nemmeno il riesame che segue ad essi, altrimenti l’organizzazione sarebbe già pronta per la fase 2, ma è opportuno invece anticipare lo stage 1 per capire se si sta andando nella direzione giusta).

Secondo la norma per la maggior parte dei sistemi di gestione, è raccomandato che almeno una parte dell’audit di fase 1 sia effettuata presso le sedi del cliente per poter conseguire gli obiettivi sopra stabiliti, ma personalmente non credo che gli obiettivi possano essere perseguiti senza mettere piede in azienda; purtroppo la norma dà la possibilità agli Organismi di Certificazione di fare un po’ come vogliono per risparmiare tempo.

Lo scopo dell’audit di fase 2 è di valutare l’attuazione, compresa l’efficacia, del sistema di gestione del cliente. L’audit di fase 2 deve aver luogo presso il(i) sito(i) del cliente e deve riguardare almeno quanto segue:

a) le informazioni e le evidenze circa la conformità a tutti i requisiti della norma del sistema di gestione applicabile o di altro documento normativo;

b) il monitoraggio, la misurazione, la rendicontazione e il riesame delle prestazioni, con riferimento agli obiettivi ed ai traguardi fondamentali delle prestazioni stesse (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo);

c) il sistema di gestione del cliente e le prestazioni con riferimento al rispetto delle prescrizioni legali;

d) la tenuta sotto controllo dei processi del cliente;

e) gli audit interni e il riesame da parte della direzione;

f) la responsabilità della direzione per le politiche del cliente;

g) i collegamenti fra i requisiti normativi, la politica, gli obiettivi ed i traguardi delle prestazioni (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo), tutte le prescrizioni legali applicabili, le responsabilità, la competenza del personale, le attività, le procedure, i dati di prestazioni e le risultanze e le conclusioni degli audit interni.

Sottolineato che naturalmente tutti i punti della norma devono essere trattati in modo esaustivo, occorre rilevare che la verifica delle attività di monitoraggio e misurazione, i cosiddetti indicatori che dovrebbero permettere di tenere sotto controllo l’andamento dei processi, dovrebbero essere valutati con spirito critico, verificando se nella sostanza sono realisticamente calcolati e sono utili a monitorare i processi.

Riguardo alle prescrizioni legali gli auditor degli OdC spesso sono “deboli” nei confronti dell’impresa, nel senso che non vanno a fondo nel verificare il rispetto dei requisiti cogenti sul prodotto e non hanno sufficiente conoscenza degli stessi per capire se i processi sono conformi.

Infine anche la coerenza fra tutti gli aspetti elencati del sistema di gestione non può essere valutata soltanto spuntando un’arida check-list, ma occorre interrogare in modo intelligente il personale aziendale ed aver il coraggio di emettere osservazioni al riguardo se si rileva che, ad es. il SGQ, non è coerente con le attività dell’organizzazione e viaggia su un binario parallelo all’operatività aziendale.

Gli audit di sorveglianza sono audit sul campo, ma non sono necessariamente audit dell’intero sistema e devono essere pianificati unitamente alle altre attività di sorveglianza, in modo che l’organismo di certificazione possa continuare ad aver fiducia che il sistema di gestione certificato continui a rispettare i requisiti nel periodo intercorrente fra gli audit di rinnovo della certificazione. Il programma di audit di sorveglianza deve comprendere almeno:

a) audit interni e riesami da parte della direzione;

b) un riesame delle azioni intraprese a seguito delle non conformità identificate durante il precedente audit;

c) trattamento dei reclami;

d) efficacia del sistema di gestione nel conseguimento degli obiettivi del cliente certificato;

e) avanzamento delle attività pianificate, finalizzate al miglioramento continuo;

f) continua tenuta sotto controllo delle attività;

g) riesame di ogni modifica; e

h) utilizzo di marchi e/o di ogni altro riferimento alla certificazione.

Qui occorre enfatizzare il fatto che i sistemi (qualità, ambiente, sicurezza,…) morti o quasi non devono essere mantenuti certificati soltanto perché il cliente paga l’OdC, ma l’azienda certificata deve  essere sollecitata ad adempiere a tutte le prescrizioni, compresa la risoluzione delle anomalie segnalate nell’audit precedente. Solo la verifica in accompagnamento di ACCREDIA, scegliendo casualmente il cliente, può effettivamente valutare se l’OdC svolge correttamente il proprio compito.

Infatti la norma richiede che l’organismo di certificazione deve mantenere la certificazione basandosi sulla dimostrazione che il cliente continui a rispettare i requisiti della norma relativa al sistema di gestione.

Lo scopo dell’audit di rinnovo della certificazione è quello di confermare la conformità continua e l’efficacia del sistema di gestione nel suo complesso, nonché la continua pertinenza ed applicabilità al campo di applicazione della certificazione.

L’audit di rinnovo della certificazione deve prendere in considerazione le prestazioni del sistema di gestione nell’arco del periodo di certificazione e deve comprendere il riesame dei precedenti rapporti di audit di sorveglianza.

L’audit di rinnovo della certificazione deve comprendere un audit su campo che accerti quanto segue:

a) l’efficacia del sistema di gestione nella sua globalità, alla luce di modifiche interne ed esterne, e la sua continua pertinenza ed applicabilità al campo di applicazione della certificazione;

b) l’impegno dimostrato a mantenere l’efficacia ed il miglioramento del sistema di gestione al fine di rafforzare le prestazioni complessive;

c) se l’operatività del sistema di gestione certificato contribuisce al conseguimento della politica e degli obiettivi dell’organizzazione.

Può essere necessario che l’organismo di certificazione esegua audit senza preavviso a clienti certificati per indagare sui reclami, o in seguito a modifiche o come azione conseguente nei confronti di clienti cui è stata sospesa la certificazione. In tali casi:

a) l’organismo di certificazione deve descrivere e rendere noto in anticipo ai clienti le condizioni in base a cui sono eseguite queste visite senza preavviso;

Questi audit senza preavviso, se veramente attuati, potrebbero essere il punto forte di tutto il sistema di accreditamento delle certificazioni, ma bisogna vedere se lo si vorrà mettere in pratica.

Al punto 9.1.9.6.1 (Identificazione e registrazione delle risultanze dell’audit) si richiede che le risultanze dell’audit, che sintetizzano le conformità e forniscono dettagli circa le non conformità e il relativo supporto dell’evidenza dell’audit, debbano essere registrate e riportate per consentire una decisione informata circa la certificazione o del relativo mantenimento.

Questo significa maggiore precisione nella raccolta di evidenze nel corso dell’audit per attestare non solo gli aspetti negativi (non conformità, osservazioni), ma anche quelli positivi (evidenze che attestano la conformità dei processi).

Questa maggiore richiesta di informazioni da parte della norma e, quindi, dell’Organismo di accreditamento (ACCREDIA) nei confronti degli OdC non fa altro che caricare gli auditor di un ulteriore fardello: la documentazione delle evidenze raccolte per dimostrare la conformità o la non conformità delle attività e dei processi verificati alla norma di riferimento. Il rovescio della medaglia è che gli auditor perdono più tempo a raccogliere e scrivere evidenze (findings) che a svolgere un audit efficace. Anche perché il proprio ente di certificazione ed ACCREDIA gli chiederanno soprattutto prove per dimostrare di aver fatto il proprio lavoro correttamente.

Oggi molti OdC hanno abbandonato le check-list per punti della norma e registrano evidenze in formato libero all’interno di una struttura ben definita riconducibile ai capitoli della norma o a i processi aziendali. L’impiego delle nuove tecnologie è stato finora ridotto alla registrazione direttamente su PC portatile delle evidenze e, successivamente, del rapporto di audit. Alcuni auditor scrivono il rapporto direttamente nel portale web dell’Organismo, spesso impiegando molto tempo per lentezza della connessione o del sistema o imperizia.

A fronte dell’esigenza di documentare in modo più preciso e trasparente le prove dell’audit senza sovraccaricare di lavoro l’auditor – che spesso è un consulente esterno che potrebbe distogliere la propria attenzione dall’audit vero e proprio se viene valutato in base alla correttezza e completezza delle evidenze raccolte – occorre cambiare il sistema di gestione degli audit.

Oggi esistono tecnologie che permettono lo svolgimento dell’audit con il supporto di un tablet di ultima generazione per svolgere audit nei reparti produttivi e nei cantieri – in modo molto più efficiente rispetto a un notebook – e per registrare la verifica di un punto della check-lsit e le evidenze, attraverso software appositi, in modo molto più veloce. Tali sistemi (dispositivi portatili e relativo software) non solo consentono di raccogliere evidenze e redigere il rapporto di audit su PC in modo più efficiente, ma permettono anche di effettuare registrazioni multimediali e georeferenziate (registrazioni audio e video, foto e scansioni di documenti con posizione GPS ed orario esatto) che garantiscono l’Organismo di Certificazione e ACCREDIA che l’audit è stato effettivamente svolto, visionando documenti e processi reali, nei tempi e luoghi stabiliti.

Infine forniamo alcune considerazioni sulle appendici della norma.

L’Annex D indica – circa l’Audit report – che Il responsabile del gruppo di audit deve garantire che sia elaborato il rapporto di audit e deve essere responsabile del suo contenuto.

Riprendendo i contenuti di una presentazione ACCREDIA sulla norma ISO 17021 liberamente scaricabile dal sito dell’Ente, mi sento di condividere quanto segue.

Il lead auditor, consapevole delle responsabilità civili e delle sanzioni penali per dichiarazioni false e mandaci:

• Considera il campionamento svolto sufficiente a determinare le conclusioni del presente report inclusa la verifica di conformità degli aspetti legali secondo quanto previsto dallo schema di riferimento,
• Dichiara, sotto la sua completa responsabilità, di aver svolto la verifica secondo le procedure prestabilite inclusa la tempistica e le metodologie di controllo,
• Dichiara, anche a seguito delle informazioni raccolte durante la verifica, di non avere o essere a conoscenza di possibili conflitti di interesse secondo quanto previsto dalle procedureo dalle prassi di riferimento del settore.

Il responsabile aziendale firmatario del report di verifica dichiara, con specifico riferimento all’attività oggetto di verifica e al campo di applicazione della certificazione, dichiara

• di non essere a conoscenza di fatti, contenziosi o provvedimenti legali
• né di aver omesso o falsato informazioni
• né di essere a conoscenza di situazioni di conflitto di interesse tra il Gruppo di Verifica e la propria organizzazione tale per cui possa essere pregiudicata la validità del certificato o la conformità alle norme cogenti e volontarie applicabili, secondo quanto previsto dal regolamento sottoscritto in fase di domanda di certificazione.

Sulla responsabilità dell’auditor/lead auditor relativamente alle osservazioni formulate (e quelle non formulate) e sulle responsabilità dell’Organismo di Certificazione non si è ancora chiarito abbastanza su chi gravano le responsabilità – e le relative conseguenze in sede civile e penale – in caso di rilascio di certificazioni di sistema “non meritate”.

Alcuni OdC fanno sottoscrivere all’impresa certificanda una sorta di assunzione di responsabilità da parte della stessa in caso di mancato adempimento di prescrizioni cogenti tenute deliberatamente nascoste agli auditor ed all’Ente di Certificazione, ma molti ritengono che per l’affidabilità dell’intero sistema delle certificazioni ISO tale prassi non sia accettabile.