Ccmportamento personaleGli auditor dovrebbero possedere le qualita necessarie che consentano loro di agire in conformita ai priricipi di audit. Gli auditor dovrebbero comportarsi professionalmente durante lo svolgimento delle attivita di audit, che comprende l’essere: – rispettosi dei principi etici, ossia giusti, veritieri, sinceri, onesti e riservati; – di mentalita aperta, ossia disposti a prendere in considerazione idee o punti di vista alternativi; – diplomatici, ossia avere tatto nei rapporti con Ie persone; – dotati di spirito di osservazione, ossia attivi osservatori delle attivita e dell’ambiente circostante; – perspicaci, ossia consapevoli delle situazioni e in grado di comprenderle; – versatili, ossia in grado di adattarsi prontamente a diverse situazioni; – tenaci, ossia perseveranti e concentrati nel raggiungere gli obiettivi; – risoluti, ossia in grado di pervenire tempestivamente a conclusioni basate sulI’analisi e su ragionameritl logici; – sicuri di se, ossia in grado di agire e comportarsi in modo indlpendente e contemporaneamente di interagire efficacemente con gli altri; – in grado di agire con fermezza, ossia in modo responsabile ed etico, anche se queste azioni possono risultare non sempre popolari ed a volte possono dar luogo a disacoordi e scontri; – aperti al miglioramento, ossia desiderosi di apprendere dalle situazioni, e impegnatl ad ottenere risultatl di audit sempre migliorig – sensibili alle diversita culturali, ossia attenti e rispettosi nei confronti della cultura delforganizzazione oggetto dell’audit; – collaborativi, ossia in grado di interagire efficaoemente con gii altri, compresi I membri del gruppo di audit e il personale dellorganizzazione oggetto dell’audit.
Conoscenze e abilitaGli auditor dovrebbero possedere Ie conoscenze e ie abilita necessarie per raggiungere i risultati attesi degli audit che ci si attende che essi eseguano. Tutti gli auditor dovrebbero possedere conoscenze e abilita di carattere generale e oi si aspetta inoltre che possiedano aloune conoscenze e abilita speciilche della disciplina e del settore in esame. I responsabili del gruppo di audit dovrebbero possedere conoscenze ed abilita aggiuntive necessarie per guidare il gruppo di audit.
GESTIONE DI UN PROGRAMMA DI AUDITUn‘organizzazione che ha l’esigenza di condurre audit dovrabbe stabiIire un programma di audit cha contribuisca alla datarminazione dell’efHcacia dei sistema di gastiona deIl’organizzazione egget•te deII’audit. ll programma di audit può comprendere audit e fa rifarimento ad una e piu norme di sistemi di gestione, condotti separatamente e in modo combinato, l’alta direzione dovrebbe assicurara cha gli obiattivi dal programma di audit siano stabiliti e dovrebbe assagnara, ad una e piu persone competenti, la gestione dal programma stesso. Iiestensione di un programma dl audit dovrabba essere basata sulla dimansione e sul tipo dell‘organizzaziene oggette dell’audit, cost oome sulla tipologia, il modo di funzionara, la complessita e il livello dl maturita del sistama di gestione da sottoporra ad audit, Dovrabbe essere data priorita ad assagnare Ie risorsa dal programma di audit al fine di sottoporra ad audit gli eIementi significativi nelI’ambite del sistema di gestione. Quasti elementi possono comprendere Ie carattaristicha dalla qualita dal prodotto e i pericoli per la salute e Ia sicurazza, o aspatti ambientali signilicativi e la loro tenuta sotto controllo. ll programma di audit dovrabba cemprendere Ie informazioni e Ie risorsa necessarie per erganizzare e cendurre i ralativi audit in modo efticace ed efficiente nell’arco temporale spacificato e puo ancha comprendere quanto segue: – obiattivi deI programma di audit e dei singoli audit; – estensiene/numaro/tipo/durata/siti/pianificaziona temporala degIi audit; – procedure dei programma di audit; – criteri di audit; – metodi di audit; – seleziene dei gruppi di audit; – risorsa necessarie, inclusi viaggi e alioggi; – procassi par Ia gestione della riservatezza, sicurazza dalla informazioni, saluta e sicurazza sul lavoro e altre questieni simili. Ijattuaziona del programma di audit dovrabba essere monitorata e misurata per assicurara cha i ralativi oblattivi siano stati raggiunti. ll programma di audit dovrebbe essere riasaminato al tina di individuarai possibili miglioramanti.
Definizione degli obietlivi del programma di auditlialta direzione dovrebbe assicurare che gli obiettivi del programme di audit siano stabiliti al ine di indirizzare la planiflcazione e la conduzione degli audit e dovrebbe garantire che il programma di audit sia attuatc in mode eflicace. Gli obietlivi del prcgramma di audit dovrebbero essere ccerenti con e di supportc alla polltica e agli obiettivi del slstema di gestione. Questi obiettivi possono essere basati sulla conslderazione del seguenti elementi: a) le pricrita di gestione; b) le politiche commerciali e di mercato; c) le caratteristlche dei processi, del prodottl e dei progetti, e qualsiasi modifica relatlva; d) i requisiti del sistema di gestione; e) i requisiti legali e contrattuali e altri requislti; f) l’esigenza di valutazione del fomitorig g) le esigenze e le aspettatlve delle parti interessate, compresi il cllenti; h) il livello di prestazioni deIl’organizzazione oggetto dell’audit; i) i rischi per Vorganizzazione oggetto dell’audit; j) i risultati di audit precedenti; k) il Iivello di rnaturita del sistema di gestione oggetto delI’audit.
Definizione del programme di audit
Ruoli e responsabilita della persona che gestisce il programma di auditLa persona che gestisce il programma di audit dovrebbe: – stabilire I’estensiene del programma di audit; – individuare e valutare i rischi peril programma di audit; – stabilire le responsabilita dell‘audit; – stabilire Ie procedure per i programmi di audit; – determinare Ie risorse necessarie; – garantire I’attuazione del programma di audit, compresa la definizione degli obiettivi delI’audit, il campo di applicazione e i criteri dei singoli audit, determinando i metodi di audit, selezionando il gruppo di audit e valutando gli auditor; – garantire che siano gestite e mantenute registrazioni appropriate del programme di audit; – monitorare, riesaminare e migliorare il programma di audit. La persona che gestisce un programma di audit dovrebbe informare l’alta direzione circa i contenuti del programma stesso e, ove necessario, richiederne Vapprovazione.
Competenza della persona che gestisce il programma di auditLa persona che gestisce il programma di audit dovrebbe avere Ie competenze necessarie per gestire in modo efticace ed efficiente tale programma e i risohi ad esso associati, cosi come conoscenze e abilita nelle seguenti aree: – principi, procedure e metodi di audit; – norme di sistemi di gestione e documenti di riterimento; – attivita, prodotti e processi delI’organizzazione oggetto dell’audit; – requisiti Iegali applicabili e altri requisiti pertinenti Ie attivita e i prodotti dellbrganizzazione oggetto deIl’audit; – clienti, fornitori e altre parti interessate dell’organizzazione oggetto dell’audit, per quanto applicabile. La persona che gestisce il programma di audit dovrebbe impegnarsi in attivita appropriate di sviluppo professionale continuo, volte a mantenere Ie necessarie conoscenze e abilita per gestire il programme di audit,
Definizione dell’estensione del programma di auditLa persona che gestisce il programma di audit dovrebbe determinare lestensione del programma di audit, che puo variare in funzione delle dimensicni e del tipo di organizzazione oggetto deIl’audit, cosi come dal tipo, modo di iunzionare, complessita e livellc di maturita dei sietema di gestione da sottoporre ad audit e dei relativi fattori signiticativi. Altri fattori che incidono suliestensione di un programma di audit ccmprendono i seguenti: – l’obiettivo, il campo di applicazione e la durata di ogni audit e il numero di audit da condurre, tra cui le azioni conseguenti all’audit, se applicabile; – il numero, limpoitanza, Ia complessita, le analogie e i siti delle attivita oggetto di audit; – i iattori che influenzano l’eifieacia del slstema di gestione; – i criteri di audit applicabili come le disposizioni pianificate per le pertinenti norme di sistemi di gestione, i requisiti legali e contrattuali e gli altri requisiti che I‘erganizzaziene si e impegnata a soddisiare; – le conclusiohi di precedenti audit interni e esterhi; – i risultati di un precedente riesame del programma di audit; – la lingua, il ccntesto culturale e sociale; – Ie preoccupazioni delle parti interessate – le modifiche slgnificative apporiate all’organizzazione oggetto dell‘audit e al suc funzionamento; – la disponibilita di tecnologie dellinformazione e di comunicazione a supporto delle attivita di audit, in particolare I‘utilizzc di metodi di audit a distanza; • il verificarsi di everiti interni ed esterni, quali guasti dei prodctti, falle nella sicurezza delle informazioni, incidenti riguardanti Ia salute e la sicurezza sul lavoro, atti criminali o incidenti ambientali.
Identificazione e valutazione dei rischi del programma di audit Esistono molti difterenti rischi connessi alla definizione, attuazione, monitoraggio, riesame e miglioramento di un programma di audit che possono iniluenzare il raggiungimento dei relativi obiettivi. La persona che gestisce il programma dovrebbe considerare questi rischi hello sviluppo del programma stesso. Questi rischi possono essere associati a quanto segue: – pianihcazione; – risorse; – selezione del gruppo di audit; – attuaziohe; – registrazioni e loro tenuta sotto controllo; – monitoraggio, riesame e miglioramento del programma di audit.
Detinizione delle procedure per il programma di auditLa persona che gestisce il programme di audit dovrebbe stabilire una e piu procedure che trattino, per quanto applicablle, i seguenti aspetti: – Ia pianiticazione e Ia programmazione temporale degli audit considerando i rischi connessi al programma di audit; – la garanzia della siourezza e riservatezza delle informazioni; – assicurazione della competenza degli auditor e dei responsabili dei gruppi di audit; – la selezione di gruppi di audit appropriati e Fassegnazione dei rispettivi ruoli e responsabilita; – la conduzione degli audit, compreso l’utiIizzo di metodi di campionamento appropriati; – Ia oonduzione di azionl conseguenti aIl’audit, se applioabile; – il riferire alI’aIta direziorie sui risultati complessivi ottenuti dal programma di audit; – il mantenimento delle registrazioni del programma di audit; – il monitoraggio e il riesame delle prestazioni e dei rischi, e il miglioramento dell’efHcacia del programma di audit.
ldentiticazione delle risorse del programma di auditNell‘identiticare le risorse per il programma di audit, la persona che gestisce il programma di audit dovrebbe considerare: – le risorse economioo-tinanziarie necessarie per sviluppare, attuare, gestire e migliorare le attivita di audit; – i metodi di audit; – la disponibilita di auditor ed esperti tecnici che possiedano competenze adeguate per gli obiettivi dello specihco programma di audit; – Vestensione del programma di audit e dei relativi rischi; – il tempo di peroorrenza e i costi, vitto-alloggio e altre esigenze deIl’attivita di audit; – la disponibilita di tecnologie dell’intermaziene e di comunicazione.
Altuazione del programma di auditLa persona che gestisce il programma di audit dovrebbe attuare il programma di audit attraverso quanto segue: – comunicare le parti pertinenti del programma di audit alle parti interessate ed informarle periodicamente sullo stato di avanzamento; – detinire gli obiettivi, il campo di applicazione e i criteri per ciascun singolo audit; – coordinare e pianificare temporalmente gli audit e le altre attivita pertinenti al programma stessc; – assicurare Ia selezione di gruppi di audit con le competenze necessarie; – tomire le risorse necessarie per i gruppi di audit; – assicurare che gli audit siano condotti in conformita al programma di audit ed entro l’arce temporale cohcordato; – assicurare che le attivita di audit siano registrate e che Ie registrazioni siano propriamente gestite e mantenute.
Definizione degli obiettivi, campo di applicazione e criteri per un singolo auditOgni singolo audit dovrebbe essere basato su obiettlvi, campo di applicazione e criteri di audit documentati. Questi dovrebbero essere detinitl dalla persona che gestisce il programme di audit ed essere coerenti con gli obiettlvi complessivi del programme stesso. Gli obiettivi dell’audit detiniscono cosa deve essere conseguitc dal singolo audit e possono comprendere quanto segue: – la determinazione del grado di conformita del sistema di gestione da sottoporre ad audit, e parti di esso, rispetto ai criteri di audit; – la determinazione deliestensione della contormita delle attivita, dei processi e dei prodotti rispetto ai requisiti e alle procedure del sistema di gestione; – Ia valutazione della capacita del sistema di gestione di garantire la conformita ai requisiti legali e contrattuali e ad altri requisiti che Forganizzazione e impegnata a soddisfare; – Ia valutazione delieficacia del sistema di gestione nel soddisfare gli obiettivi speciiicati; – l’identificazione di aree di potenziale miglioramento del sistema di gestione. Il campo di applicazione dell’audit dovrebbe essere coerente con il programma e con gli obiettlvi di audit. Esso comprende quei fattori come siti, unita organizzative, attivita e processi da sottoporre ad audit, cosi come la durata deIl’audit. I criteri di audit sono utilizzati come riferimento a tronte del quale e determinata la conformita e possono comprendere politiche, procedure, norme, requisiti legali, requisiti di sistema di gestione, requisiti contrattuali, codici di condotta settoriali e altre disposizioni pianiticate. II programma di audit dovrebbe, se necessario, essere moditicato nel caso di cambiamenti agli obiettlvi, al campo di applicazione e ai criteri di audit. Quando due e piu sistemi dl gestione di discipline ditterenti sono sottopoati contemporaneamente ad audit, e importante che gli obiettlvi, il campo di applicazione e i criteri dell’audit slano coerenti coni gli obiettlvi dei rispettivi programmi dl audit.
Selezione dei metodi di auditLa persona che gestisce il programme di audit dovrebbe scegliere e determinare i metodi per condurre efiicacemente l‘audit in funzione degli obiettlvi, del campo di applicazione e dei criteri di audit deiiniti. Qualora due o piu organizzazioni che eltettuano audit conducano un audit congiunto sulla medesima organizzazione oggetto dell’audit, le persone che gestiscono i diversi programmi di audit dovrebbero accordarsi sul metodo di audit e considerare Ie implicazioni per le risorse e la pianiticazione delI’audit. Se un’organizzaziene oggetto clellaudit attua clue e piu sistemi di gestione di discipline differenti, possono essere inclusi nel programme di audit degli audit combinati.
Selezione dei membri del gruppo di audit La persona che gestisce il programma dl audit dovrebbe nominare i membri del gruppo di audit, compresi il responsabile del gruppo di audit e tutti gli esperti tecnici necessari per l’audit specitico. Un gruppo di audit dovrebbe essere selezionato tenendo conto delle competenze necessarie per conseguire gli obiettivi del singolo audit nel campo di applicazione detinito. Se e presente un solo auditor, quesfultimo dovrebbe svolgere tutti i compiti applicabili di un responsabile di gruppo di audit. Nel decidere la dimensione e la composizione del gruppc di audit per I’audit specifico, dovrebbe essere considerato quanto segue: a) la competenza complessiva del gruppo di audit necessaria per raggiungere gli obiettivi dell’audit, tenendo conto del campo di applicazione e dei criteri di audit; b) la complessita dell’audit e se questo e un audit combinato o congiunto; c) i metodi di audit che sono stati selezionati; d) i requisiti legali e contrattuali e gli altri requisiti che Vorganizzazione e impegnata a soddisfareg e) l’esigenza di garantire l’indipendenza dei membri del gruppo di audit dalle attivita da sottoporre ad audit e di evitare qualsiasi contlitto di interessi; f) la capacita dei membri del gruppo di audit d’interagire etficacemente con i rappresentanti dell’organizzazione oggetto delI’audit e di lavorare insieme; g) la lingua dell’audit e le caratteristiche sociali e culturali dell‘organizzazione oggetio dell’audit. Questi aspetti possono essere affrontati e attraverso le abilita personali dell’auditor e attraverso il supporto di un esperto tecnico. Per assicurare la competenza complessiva del gruppo di audit, dovrebbero essere seguite le seguenti lasi: – identiticazione delle conoscenze e delle abilita necessarie per raggiungere gli obiettivi deIl’audit; – selezione dei membri del gruppo di audit in modo tale che tutte Ie conoscenze e abilita necessarie siano presenti nel gruppo di audit, Se gli auditor del gruppo di audit non posseggono tutte le competenze necessarie, dovrebbero essere inclusi nel gruppo esperti tecnici con competenze aggiuntive. Gli esperti tecnici dovrebbero operare sotto Ia direzlone di un auditor, ma non dovrebbero agire in qualita di auditor. Possono essere inclusi nel gruppo di audit auditor in addestramento, ma questi dovrebbero partecipare sotto la direzione e la guida di un auditor. Modifiche della dlmensione e composizione del gruppo di audit possono rendersi necessarle nel corso deIl‘audit, cioé in caso d‘insorgenza di conflitto di interesse o dl problemi di competenza. Qualora emergesse tale situazione, questa dovrebbe essere discussa con le parti appropriate prima di compiere qualsiasi modifica.
Assegnazione della responsabilita per un singolo audit al responsabile del gruppo di auditLa persona che gestisce il programma di audit dcvrebbe assegnare la responsabilita della conduzione del singolo audit ad un responsabile di gruppo di audit. l.’incaricc dovrebbe essere assegnato in tempo utile prima della data prevista per l’audit, al Hne di garantire la pianiticaziche efiicace dell’audlt stesso. Per garantire un etficace svolgimento dei singoli audit, dovrebbero essere tornite al responsabile del gruppo di audit Ie seguenti informazioni; a) obiettivi dell’audit; b) criteri dell’audit e qualsiasi documento di riferimento; c) campo di applicazione deIl’audit, compresa Videntiiicazione delle unita organizzative e tunzionali e dei processi da sottoporre ad audit; d) metodi e procedure dell’audit; e) cornposizione del gruppo di audit; f) dettagli circa i oontatti dell’organizzazione oggelto dell’audit, i siti, le date e la durata delle attivita di audit da condurre; g) assegnazione di risorse adeguate per condurre |’audit; h) informazioni necessarie per valutare e affrontare i rischi identiticati per il raggiungimento degli obiettivi dell‘audit. Le informazioni concernenti l’incarico dovrebbero inoltre trattare, come appropriato, quanto segue: – Ia lingua utilizzata per le attivita e per Velaborazione dei rapporti, nel casi in cui questa sia diversa dalla lingua dell’auditer e dell’organizzaziene oggetto dell’audit, e di entrambi; – i contenuti del rapporto di audit e la distribuzione richiesta dal programma di audit; – le questioni riguardanti la riservatezza e la sicurezza delle informazioni, se richiesto dal programma di audit; – qualsiasi requisito circa la salute e la sicurezza sul Iavoro per gli auditor; – qualsiasi requisito relativo alla sicurezza e alle autorizzazioni; – qualsiasi azione conseguente; – il coordinamento con altre attivita di audit, in casc di audit congiunto. Qualora sia condotto un audit congiunto, e importante raggiungere un accordo tra le organizzazioni che conducono l’audit, prima che questo inizi, circa Ie responsabilita specifiche di ciascuna parte, con particolare riferimento all’autorita del responsabile del gruppo designato per l’audit.
Gestione deIl’esite di un programma di auditLa persona che gestisce il programma di audit dovrebbe garantire che siano eseguite le seguenti attivita: – riesame e approvazione dei rapporti di audit, che comprenda la valutazione delI’idoneita e dell’adeguatezza delle risultanze dell’audit; – riesame dellanalisi della causa radice e dell’efHcacia delle azioni correttive e preventive; – distribuzione dei rapporti di audit alI‘alta direzione e alle altre parti pertinenti; – determinazione della necessita di qualsiasi audit conseguente.
Gestione e mantenimento delle registrazioni del programma di auditLa persona che gestisce il programma di audit dovrebbe garantire che le registrazioni dell’audit siano generate, gestite e mantenute per dimostrare l’attuazione del programma di audit. Dovrebbero essere stabiliti processi per assicurare che siano state affrontate tutte le esigenze di riservatezza associate alle registrazioni deIl’audit. Le registrazioni dovrebbero comprendere quanto segue: a) le registrazioni concernenti il programma di audit, come: – gli obiettivi e I’estensione documentati del programma di audit, – quelle che trattano i rischi connessi al programma di audit, – i riesami dell’efficacia del programma di audit; b) le reglstrazioni relative a ciascun singolo audit, come: – i piani di audit ed i rapporti di audit, – i rapporti di non conformita, – i rapporti di azioni correttive e preventive, – i rapporti circa azioni conseguenti all’audit, se applicabile; c) le registrazioni relative al personale dell’audit che trattano argomenti quali: – la valutazicne della competenza e delle prestazioni dei membri del gruppo di audit, – la selezione dei gruppi di audit e dei membri dei gruppi, – il mantenimento e il miglioramento della competenza. La forma e il livello di dettaglio delle registrazioni dovrebbero dimostrare che gli obiettivi del programma di audit sono stati raggiunti.
Monitoraggio del programma di auditLa persona che gestisce il programma di audit dovrebbe monitorarne l’attuazlone prendendo in considerazione l’esigenza di: a) valutare la conformita ai programmi, alla pianificazione temporale e agli obietiivl di audit; b) valutare le prestazioni dei membri del gruppo di audit; o) valutare la capaclta dei gruppl di audit di attuare il piano di audit; d) valutare le informazioni di ritorno dall’alta dlrezione, dalle organizzazioni oggetto dell’audit, dagli auditor e dalle altre parti interessate. Alcuni fattori possono determinare l’esigenza di modificare il programma di audit, come i seguenti: – risultanze dell’audit; – livello dimostrato di effloacia del sistema di gestione; – modifiche del sistema di gestione del committente o delforganizzazione oggetto dell‘audit; – modlfiche delle norme, dei requisiti legall e contrattuali e degli altri requisiti che lorganizzazlone e impegnata a soddistare; – cambiamento del fornitore.
Riesame e miglioramento del programma di auditLa persona che gestisce il programma di audit dovrebbe riesaminare ll programma di audit per valutare se sono stati raggiunti l relativi obiettivi. Gll insegnamenti derivanti dal riesame del programma di audit dovrebbero essere utilizzate come elementi in ingresso del processo di miglioramento continuo del programma. Il riesame del programma di audit dovrebbe prendere in considerazione quanto segue: a) i risultati e le tendenze risultanti dal monitoragglo del programma di audit; b) la conformita alle procedure del programma di audit; c) l‘evoluzione delle esigenze e delle attese delle parti interessate; d) Ie registrazlonl del programma dl audit; e) metodi di audit alternativi o nuovi; i) I‘eificacia delle misure per aitrontare i rischi associati al programma di audit; g) le questioni inerenti la riservatezza e la sicurezza delle informazioni riguardanti il programma di audit. La persona che gestisce il programma di audit dovrebbe riesaminare l’attuazione complessiva del programma di audit, identiiicare le aree di miglioramento, modiiicare il programma se necessario, e dovrebbe anche: – riesaminare Io sviluppo professionale continuo degli auditor; – riferire i rlsultati del riesame del programma di audit alI’aIta direzione.
SVOLGIMENTO Dl UN AUDITGuida per preparare e condurre attivita di audit come parte di un programma di audit.
Avvio dell’auditQuando si avvia un audit, ia responsabiiité di condurre I’audit siesso ricade sul responsabile del gruppo di audit incaricato time a quando i’audit é completato. Per avviare un audit, la sequenza pub variare in iunzione dellbrganizzazione oggetto deIi’audit, dei processi s delle circostanze specifiche dsii’audit.
Presa di ccntatto iniziale con Vorganizzazione oggetto dell’auditll contatto iniziale con Vorganizzazione oggetto dell’audit, per lo svolgimento dell’audit medesimo, pub essere informale o formale e dovrebbe essere eseguifo dal responsabile del gruppo di audit. Le finalita del contatto iniziale sono le seguenti: – stabilire i canali di oomunicazione con i rappresentanti dellbrganizzazione cggerto dell’audit; – confermare l‘autorita per condurre l’audit; – fornire le informazioni sugli obiettivi delI’audit, il campo di applicazione, i metodi e la composizione del gruppo di audit, compresi gli esperti tecnici; – richiedere l’accesso ai documenti e alle registrazioni pertinenti ai fini della pianificazione del|’audit; – determinare i requisiti legali e contrattuali applicabili e gli altri requisifi riguardanti le attivita e i prodotti deltorganizzazione oggetto dell’audit; – confermare l‘accordo con Vorganizzazione oggetto delI’audit per quanto riguarda il grado di esfensione della divulgazione e il traftamento delle informazioni riservate; – prendere accordi per l’audit inclusa la pianificazione delle date; – determinare, per ogni sito, i requisiti di accesso, di sicurezza, di salute e sicurezza sul lavoro o altri requisiti specifici; – prendere accordi sulla presenza di osservatori e sull’esigenza di guide per il gruppo di audit; – determinare ogni area d’interesse o di attenzione deltorganizzazione oggetto dell’audit in relazione all’audit specifico.
Determinazione della faftibilité deIl’auditLa fattibilita dell’audit dovrebbe essere determinata per fornire una ragionevole fiducia che gli obiettivi deIl’audit possano essere raggiunti. La determinazione della fattibilita dovrebbe prendere in considerazione fattori come la disponibilita dei seguenfi elementi: – informazioni sufficienti e adeguate per la pianihcazione e la conduzione dell’audit; – adeguata collaborazione da parte deltorganizzazione oggettc dellaudit; – tempo e risorse adeguati per la conduzicne deIl’audit. Nei cast in cui l’audit non sia fattibile, dovrebbe essere propcsta al committente dell‘audit un’alternativa, in accordo con Forganizzazione oggetto dell’audit
Preparazione delle aftivita di audit
Svolgimento del riesame dei documenli nel corsc della preparazione dell’auditLa documentazione pertinente del sistema di gestione dellbrganizzazione oggetto deII’audit dovrebbe essere riesaminata al fine di: – raccogliere informazioni per preparare le attivita di audit ed elaborare i documenti di Iavoro applicabili,relativi a processi, funzioni; – pervenire ad una visione d’insieme circa Festensione della documentazione dei sistema per rilevare eventuali Iacune. More Una guida su come eseguire un riesame dei documenii é fornita al punto B2. La documentazione dovrebbe comprendere, per quanio applicabile, i documenti e le registrazioni del sistema di gestione, eosi come il rapporto deIl’audit precedente. li riesame dei documenti dovrebbe tener conto di dimensione, tipo e complessita del sistema di gestione dellbrganizzazione oggetto dell’audit e della sua stessa organizzazione, nonche degli obiettivi e del campo di applicazione dell’audit.
Preparazione del piano di audit ll responsabile del gruppo di audit dovrebbe preparare un piano di audit sulla base delle informazioni contenute nel programme di audit e della documentazione fornita dallorganizzazione oggetto deIl’audit. ll piano di audit dovrebbe considerare leffetto delle attivita di audit sui processi dellorganizzazione oggetto delI’audit e fornire Ie basl per l’accordo tra il committente deII’audit, il gruppo di audit e lorganizzazione oggetto deIl’audit, per quanto riguarda la conduzione deIl’audit stesso. Il piano dovrebbe faciiitare una pianificazione temporale e un coordinamento efficienti delle atlivita di audit al fine di raggiungere gli obiettivi in modo efficace. II livello di dettaglio fornito nel piano di audit dovrebbe riflettere il campo di applicazione e la complessita delI’audit, cosi come l’effetto delI’incertezza sul raggiungimento degli obiettivi dell’audit stesso. Durante la preparazione del piano di audit, il responsabile del gruppo di audit dovrebbe essere a conoscenza di quanto segue: – Ie tecniche di campionamento appropriate; – la composizione del gruppo di audit e la sua competenza complessiva; – i rischi per l’organizzazione oreati dall’audit. Nel caso di audit combinati, dovrebbe essere posta particolare attenzione alle interazioni tra i processi operativi e quegli obiettivi e priorita dei differenti sistemi di gestione che sono in concorrenza tra Ioro. Il grado di dettaglio e il contenuto del piano di audit possono essere diversi. ll piano di audit dovrebbe trattare o fare riferimento a quanto segue: a) gli obiettivi di audit; b) il campo di applicazione dell‘audit, compresa l‘identificazione delle unita organizzative e funzionali, cosi come i processi da sotloporre ad audit; c) i criteri di audit e ogni eventuale documento di riferimento; d) i siti, date, tempi e durata attesi delle attivita di audit da condurre, incluse le riunioni con la direzione deIl‘organi2zazione oggetto dell’audit; e) i metodi di audit da utilizzare, compresa Pestensione del campionamento relativo alI’audit necessaria per ottenere suffioienti evidenze di audit e la progettazione del piano di oampionamento stesso, se applicabileg t) i ruoli e le responsabilita dei membri del gruppo di audit, cosi come quelli di guide e osservatori; g) lassegnazione di risorse adeguate per le aree critiche deIl’audit. ll piano di audit pup anche riguardare, come appropriato, quanto segue: – Videntilicazione del rappresentante, ai rini deIl’audit, dellorganizzazione oggetlo dell’audit; – Ia lingua utilizzata nelle attivita e nei rapporti di audit qualora sia diversa da quella deIl’auditer e dellorganizzazione oggetto dell‘audit o di entrambi; – gli argomenti del rapporto di audit; – gli aspetti Iogistici e le modalita di oomunicazione, comprese le disposizioni specifiohe per i siti da sottoporre ad audit; – ogni misura specifica da adoltare per trattare I’effetto dell’incertezza sul raggiuhgimento degli obiettivi di audit; – gli aspetti relativi alla riservatezza e alla siourezza delle informazioni; – ogni attivita conseguente ad un audit precedente; – ogni attivita conseguente all‘audit pianihcato; – ll ooordinamento con altre attivita dl audit, in caso di audit congiunto. ll piano di audit puo essere riesaminato e aocettato dal committente dell’audit, e dovrebbe essere presentato altorganizzazione oggetto dell’audit. Qualsiasi obiezione da parte dell‘organizzazlone oggetto dellaudit, riguardo al piano di audit, dovrebbe essere risolta tra il responsabile del gruppo di audit, Forganizzazione oggetto dell’audit e il committente dellaudit.
Assegnazlone dei compiti di Iavoro al gruppo di auditll reeponsabile del gruppo di audit, di concerto con il gruppo di audit, dovrebbe assegnare, ad ogni membro del gruppo, la responsabilita di sottoporre ad audit processi, attivita, funzioni e siti speciiicl. Tall incarichl dovrebbero tener conto deli’indipendenza e della competenza degli auditor e dell‘utilizzo effioace delle risorse, cosi come dei diversi ruoli e responsabilita degli auditor, degli auditor in addestramento e degli esperti tecnici. Al rine di assegnare i complti di Iavoro e decidere eventuali modihche, dovrebbero essere svolti incontri preliminari del gruppo di audit, per quanto appropriato, a cura del responsabile del gruppo stesso. Modifiche allassegnazione dei compitl di Iavoro possono essere fatte nel corso dellaudit in modo da garantire il raggiungimento degli obiettivi dellaudit.
Preparazione dei documenti di lavoro I membri del gruppo di audit dovrebbero raccogliere e riesaminare le informazioni relative ai loro incarichi di audit ed elaborare i documenti di Iavoro, come necessarlo, one servano da riferimento e per le registrazioni delle evidenze di audit. Tali documenti di iavoro possono comprendere quanto segue: – liste di controllo; – piani di campionamento dell’audit; – moduli per reglstrare le informazioni. L’utilizzo di liste di controllo e di moduli non dovrebbe Iimitare Vestensione delle attivita dl audit, che possono cambiare in funzione delle informazioni raocolte durante l‘audit medesimo. l documenti di lavoro, comprese le registrazioni derivanti dal loro utilizzo, dovrebbero essere conservati almeno fino alla chiusura dell’audit, o come specificato nel piano di audit. La conservazione dei documenti, dopo la chiusura dell’audit. Quei documenti che comprendono informazioni riservate o di proprieta dovrebbero essere opportunamente salvaguardati, in ogni momento, dai membri del gruppo di audit.
Conduzione delle attivita di audit
Conduzione della riunione di aperturaLo scopo della riunione di apertura é quello di; a) confermare l’accordo di tutte le parti in riferimento al piano di audit; b) presentare il gruppo di audit; o) assicurarsi che possano essere eseguite tutte Ie attivita di audit pianificate. Una riunione di apertura dovrebbe essere tenuta con la direzione deltorganizzazione oggetto dell’audit e, ove appropriato, con i responsabili delle funzioni o dei processi da sottoporre ad audit. Durante la riunione dovrebbe essere fornita l’opportunita di porre domande. ll grado di dettaglio dovrebbe essere coerente con la familiarita dellorganlzzazione oggetto dell’audit con il processo di audit. Per altre situazioni di audit, la riunione puo essere iormale e dovrebbero essereconservate le registrazioni delle presenze dei partecipanti. La riunione dovrebbe essere presieduta dal responsabile del gruppo di audit, e dovrebbero essere considerati i seguenti elementi, come appropriate: – presentazione dei partecipanti, compresi gli osservatori e le guide, e un profilo dei loro ruoli; – conferma degli obiettlvi, del campo di applicazione e dei crlteri dell’audit; – conferma, con l’organizzazione oggetto dell’audit, del piano di audit e delle altre disposlzioni pertinenti, come data e ora per la riunione di chiusura, qualsiasi riunione intermedia fra il gruppo di audit e la direzione dellorganlzzazione oggetto dell’audit e qualsiasi cambiamento dell’ultima ora; – presentazione dei metodi da utilizzare per la conduzione dell‘audit, compresa L’informazione all’organizzazione oggetto dell’audit che le evidenze dell’audlt sono basate su un campione delle informazioni disponibili; – introduzlone dei metodi per gestire i rischi per lorganizzazione che possono clerivare dalla presenza dei membri del gruppo di audit; – conferma dei canali di comunicazione iormale tra il gruppo di audit e l’organlzzazione oggetto dell’audit; – conterma della lingua da utilizzare durante I’audit; – conferma che, durante l‘audit, Vorganizzazione oggetto dell’audit sara tenuta informata sullo stato di avanzamento dell’audit stesso; – conferma che sono disponlbili le risorse e i mezzi necessari per il gruppo di audit; – conferma di aspetti inerenli la riservatezza e Ia sicurezza delle informazioni; – conferma di procedure pertinenti alla salute e sicurezza sul lavoro, alle emergenze e alla sicurezza peril gruppo di audit; – informazioni sul metodo con cul le risultanze di audit verranno riportate, tra cui la classificazione delle stesse, se del caso; – informazioni sulle condizioni nelle quali l’audit puo essere terminato; – informazioni sulla riunione di chiusura; – informazioni su come trattare le possibili risultanze durante l’audit; – informazioni su qualsiasi sistema per ottenere informazioni di ritorno da parte dellorganizzazione oggetto del|’audit sulle risultanze o sulle conclusioni delI’audit, inclusi reclami o appelli.
Esecuzione del riesame dei documenti durante la conduzione delI’auditLa documentazione pertinente dellorganizzazione oggetto dell’audit dovrebbe essereriesaminata per: – determinare la conformita del sistema, per quanto clocumentato, rispetto ai criteri di audit; – raccogliere le informazioni a supporto delle attivita di audit, ll riesame puo essere combinato con le altre attivita dl audit e puo continuare nel corso dell’audlt, sempreché cio non pregiudichi l’efficacia della conduzione deIl‘audit medesimo. Se non puo essere tornita una documentazione adeguata entro il termine stabilito dal piano di audit, il responsabile del gruppo di audit dovrebbe informare sia la persona che gestisce il programma di audit sia Forganizzazione oggetto dell’audit. ln funzione degli obiettivi e del campo di applicazione dell’audit, dovrebbe essere presa una decisione sulla continuazione clell’audit o sulla sua sospensione fino a quando non siano risolti i probleml relativi alla docurnentazione.
Comunicazione durante l’auditDurante l’audit, puo essere necessario adottare disposizioni tormali per la comunicazione aII‘interno del gruppo di audit, cosi come con Vorganizzazione oggetto dell‘audit, con il committente dell‘audit e, potenzialmente, con organismi esterni, soprattutto quando i requisiti legali richiedono la notitica obbligatoria delle non conformita. Il gruppo di audit dovrebbe consultarsi periodicamente per scambiare informazioni, valutare lo stato di avanzamento delI’audit e, se necessario, riassegnare i compiti di Iavoro tra i membri del gruppo di audit. Nel corso dell’audit, il responsabile del gruppo di audit dovrebbe comunicare periodicamente aliorganizzazione oggetto dell’audit e al committente delI’audit, come appropriato, Ie stato di avanzamento dell’audit e gli eventuali problemi. Le evidenze raccolte durante I’audit, che suggeriscono un rischio immediato e signiticativo per Forganizzazione oggetto dell’audit, dovrebbero essere riportate senza indugio allbrganizzazione stessa e, come appropriato, al committente dell’audit. Qualsiasi problema al di fuori del campo di applicazione dell‘audit dovrebbe essere annotato e riportato al responsabile del gruppo di audit, per l’eventuale comunicazione al committente deII’audit e all’organizzazione oggetto dell‘audit. Nei casi in cui le evidenze dell’audit disponibili indichino che gli obiettivi dell’audit nonsono raggiungibili, il responsabile del gruppo di audit dovrebbe rilerire i motivi al committente delI’audit e all’organizzazione oggetto deIl’audit per determinare Ie azioni appropriate. Tall azioni possono comprendere la riconterma e la moditica del piano di audit, moditiche degli obiettivi di audit e del campo di applicazione delI’audit, cosi come Ia cessazione dell‘audit stesso. Le eventuali esigenze di modifiche al piano di audit, che possono manifestarsi nel corso di avanzamento delle attivita di audit, dovrebbero essere riesaminate e approvate, come appropriato, sia dalla persona che gestisce il programma di audit sia dall’organizzazione oggetto dell’audit.
Assegnazione di ruoli e responsabilita a guide e osservatoriLe guide e gli osservatori possono accompagnare il gruppo di audit. Essi non dovrebbero inlluenzare o interterire con Ia conduzione dell’audit. Se questo non pue essere assicurato, il responsabile del gruppo di audit dovrebbe avere il diritto di rifiutare la partecipazione degli osservatori a certe attivita di audit. Per gli osservatori, tutti gli obblighi in materia di salute e sicurezza sul lavoro, di sicurezza e di riservatezza dovrebbero essere gestiti tra il committente dell’audit e Porganizzazione oggetto deIl’audit. Le guide, nominate daltorganizzazione oggetto dell’audit, dovrebbero assistere il gruppo di audit e agire su richiesta del responsabile del gruppo di audit. Le Ioro responsabilita dovrebbero comprendere quanto segue; a) assistere gli auditor neIl’identificazione dei soggetti da intervistare e nella conferma delle tempistiohe; b) organizzare Vaccesso a siti speciiici deltorganizzazione oggetto deII’audit; c) garantire che le regole in materia di salute e sicurezza sul lavoro e Ie procedure di sicurezza del sito siano conosciute e rispettate dai membri del gruppo di audit e dagli osservatori. ll ruolo della guida puo anche comprendere quanto segue; – assistere alI’audit per conto deliorganizzazione oggetto deII’audit; – tornire chiarimenti o assistenza nella raccolta delle informazioni.
Raccolta e verifica delle informazioniDurante l’audit, le informazioni pertinenti agli obiettlvi, al campo di applicazione e al criteri dell’audit, comprese Ie informazioni relative alle lnterfacce tra le funzioni, Ie attivita ed i processi, dovrebbero essere racoolte medlante un appropriate campionamento e dovrebbero essere verificate. Dovrebbero essere accettate come evidenze dell’audit solo Ie informazioni che siano verlficabili. Le evidenze dell‘audit, che portano a risultanze deIl’audit, dovrebbero essere registrale. Se, durante la raccolta delle evidenze, il gruppo di audit vlene a conoscenza di qualsiasi circostanza e risohio nuovi e mutati, questi dovrebbero essere presi in esame dal gruppo in modo conseguente.
Produzione delle risultanze deII’auditI.e evidenze dell’audit dovrebbero essere valutate a fronte dei criteri di audit al fine di determinare le risultanze dell’audit. Ouando specificato dal piano di audit, le risultanze di un slngolo audit dovrebbero comprendere conformita e buone prassi con le relative evidenze a supporto, opportunita di miglioramento ed ognl eventuale raccomandazione per Vorganizzazione oggetto dell’audit. Le non conformita e le loro evidenze a supporto dovrebbero essere registrate. Le non conformita possono essere classificate. Esse dovrebbero essere riesaminate con l‘erganizzazione oggetto dell’audit al fine cli ottenere il riconoscimento che le evidenze dell’audit siano ben circostanziate e che Ie non conformita siano comprese. Dovrebbe essere fatto ogni tentativo per risolvere qualsiasi opinione divergente circa Ie evidenze e le risultanze dell’audit e i punti irrisolti dovrebbero essere registrati. ll gruppo di audit dovrebbe riunirsi, quando necessario, per esaminare le risultanze delI’audit in fasi appropriate nel corso dell’audit stesso.
Preparazione delle conclusioni deIl’auditll gruppo di audit si dovrebbe consultare prima della riunione di chiusura al fine di: a) riesaminare le risultanze degli audit e ogni altra informazione appropriate raccolta durante I’audit, a fronte degli obiettivi dell’audit; b) concordare le conclusioni dell’audit, tenendo conto delle incertezze inerenti il processo di audit; c) elaborare raccomandazioni, se specificato dal piano di audit; d) discutere azioni conseguenti aII’audit, per quanto applicabile, Le conclusioni dell’audit possono trattare questioni come le seguenti: – il grado di estensione della conformita rispetto ai criteri di audit e la robustezza del sistema di gestione, compresa l’efficacia del sistema di gestione nel raggiungimento degli obiettivi stabiliti; – l’efHcace attuazione, mantenimento e miglioramento del sistema di gestione; – Ia capacita del processo di riesame di direzione di assicurare Vidoneita, adeguatezza, efficacia e miglioramento continui del sistema di gestione; – il raggiungimento degli obiettivi di audit, la copertura del campo di applicazione dell’audit e il soddisfacimento dei criteri di audit; – le cause radice delle risultanze, se incluse nel piano di audit; – risultanze simili ottenute in diverse aree, che sono state sottoposte ad audit al fine di identificare possibili tendenze. Se specificato dal piano di audit, le conclusioni deli’audit possono portare a raccomandazioni per il miglioramento, e a future attivita di audit.
Conduziune della riunione di chiusuraSi dovrebbe tenere una riunione di chiusura, faciiitata dal responsabile del gruppo di audit, per presentare le risultanze e le conclusioni dell’audit. l partecipanti alla riunione di chiusura dovrebbero comprendere la direzione dellbrganizzazione oggetto deIl‘audit e, ove appropriate, i responsabili delle funzioni e dei processi che sono stati sottoposti ad audit, e possono anche includere il committente dell‘audit e altre parti. Se applicabile, il responsabile del gruppo di audit dovrebbe informare Vorganizzazione oggetto dell’audit delle situazioni incontrate durante l’audit che possono diminuire la fiducia che puo essere riposta nelle conclusioni dell’audit stesso. Se definito nel sistema di gestione o da un accordo con il committente deIl‘audit, i partecipanti dovrebbero accordarsi sulla tempistica per un piano d’aziene per trattare i risultati dell’audit. Il livelle di dettaglio dovrebbe essere coerente con la familiarita dellbrganizzazione oggetto dell‘audit con il processo di audit. Per alcune situazioni di audit, la riunione puo essere formale e dovrebbe essere conservato il verbale, incluse le registrazioni delle presenze, o per gli audit interni, la riunione di chiusura e memo formale e puo consistere unicamente nel comunicare le risultanze e le conclusioni dell’audit. Per quanto appropriato, nel corso della riunione di chiusura dovrebbe essere spiegato all‘erganizzaziene oggettc dell’audit quantc segue; – informazione che Ie evidenze di audit raccolte sono basate su un campione delle informazioni disponibili; – il metodo di elaborazicne dei rapporti; – il processc di trattamento delle risultanze di audit e delle possibili conseguenze; – la presentazione delle risultanze e delle ccnclusioni di audit in mede tale che esse sianc comprese e riconosclute da parte della dlrezicne deIl’organizzaziene eggette dell’audit; – eventuali attivita post-audit. Eventuali pareri divergenti trail gruppo di audit e I‘erganizzaziene oggetto deIl’audit, per quantc riguarda le risultanze e le conclusioni dell’audit, dcvrebbero essere discussi e, se possibile, risolti. Se non risolti, questi dcvrebbero essere registrati. Se speciticato negli obiettivi dell’audit, pessene essere presentate raccomandazicni peril miglioramentc. Si dcvrebbe evidenziare che le racccmandazioni non hanno carattere vincolante.
Preparazione e distribuzione del rapporto di audit
Preparazione del rapporlo di auditli responsabile del gruppo di audit dovrebbe riportare I risultati di audit in contcrmita alle procedure del programma di audit. ll rapporto di audit dovrebbe tornire una registrazione ccimpleta, accurata, concisa e chiara delI’audit e dovrebbe comprendere e fare riterimentc a quante segue: a) gli cbiettivi de|I’audit; b) il campo di applicazione dellkaudit, in particolare l’iclentificaziene delle unita crganizzative e tunzionali e dei processi sel•tepesti ad audit; c) l’identiticaziene del committente deII’audit; d) lidentiticazicne del gruppo di audit e dei partecipanti a||’audit della organizzazione eggette dell’audit; e) le date e i siti dove sene state condotte le altivita di audit; f) i criteri deII’audit; g) le risultanze dell’audit e le relative evidenze; h) le conclusicni delI’audit; i) una dichiarazione sul gradc in cul i criteri di audit sono stati soddistatti. ll rapporto di audit pub anche includere e fare riierimento, come appropriate, a quanto segue; – il piano di audit, compresa la pianificazione temporale; – una sintesi del processo di audit, compreso quaisiasi estacele incontrato che pub ridurre lafhdabilita delle conclusioni dell’audit; – Ia conferma che gli obiettivi deII’audit sono stati raggiunti nell‘ambite del campo di appliczicne deIl’audit, in contorrnita al piano di audit; – qualsiasi area non ccperta, sebbene compresa nel campo di applicazione deIl’audit; – una sintesi delle ccnclusioni dell‘audit e delle principali risultanze dell’audit che le supportano; – qualsiasi opinione divergente non risclta tra il gruppo di audit e Vorganizzazione eggette delI’audit; – le opportunita di miglidramentc, se specificate nel piano di audit; – le buone prassi identihcate; – i piani concdrdati di azioni conseguenti, se presenti; – una dichlarazicne sulla natura riservata dei ccntenutig – qualsiasi implicazione peril pregramma di audit e per gli audit successivi; – la lista di distribuzione del rapporte di audit.
Distribuziene del rapporto di auditil rapperte di audit devrebbe essere emesso entre un periedo di tempo conoordato. Se vi sono ritardi, Ie ragioni devrebbero essere comunicate all’organizzazione eggette deIl’audit e alla persona che gestisce il programma di audit. Il rapporto di audit devrebbe essere datato, riesaminato ed approvato, come appropriate, in conformita alle procedure del pregramma di audit. ll rapporte di audit devrebbe quindi essere distribuito ai destinatari, come detinito nelle procedure di audit e nel piano di audit.
Chiusura dell’auditL’audit e concluso quando sono state eseguite tutte Ie attivita di audit previste, e come altrimenti concordato con il eommittente deli’audit. I deoumenti riguardanti l‘audit devrebbero essere censervati e distrutli secende gii accordi fra le parti partecipanti e in contermita alle procedure del programma di audit e ai requisiti applicabili. Se non richiesto dalla Iegge, il gruppo di audit e la persona che gestisce il programma di audit non dovrebbero divulgare i contenuti dei doeumenti, ogni altra informazione ottenuta durante l’audit, e il rapporto di audit, a qualsiasi altra parte, senza I‘apprevaziene esplicita del committente e, eve appropriate, delI’erganizzazione oggetto deIl’audit. Qualora sia riehiesta la divulgaziene dei oontenuti di un decumento di audit, il committente dell’audit e Verganizzaziene oggetle deiI’audit dovrebbero essere intormati il piu presto possibile. Gli insegnamenti derivanti dall‘audit dovrebbero essere inseriti nel processo di miglioramento continue del sistema di gestione delle organizzazieni sottoposte ad audit.
Conduzione di azioni conseguenti all’auditLe conclusioni dell‘audit pessone, in funzione degli obiettivi dell’audit, indicare Vesigenza di cerrezioni e azioni correttive, preventive e di miglioramento. Tall azioni sono generalmente decise e intraprese, daII’organizzazione eggetto dell’audit, entre un periode di tempo conoordato. Per quanto appropriate, l’organizzazione oggetto dell’audit devrebbe tenere informata Ia persona che gestisce ii programma di audit e il gruppo di audit sulle state di queste azioni. Devrebbe essere verificate il completamento e iefhcacia delle azioni. Questa verihca pue far parte di uri audit successive.
COMPETENZA E VALUTAZIONE DEGLI AUDITORLa liducia nel processo di audit e nella capacita di raggiungere gli obiettivi dipende dalla competenza delle persene che sono coinvelte nella pianiticazione e hella conduzione degli audit, compresi gli auditor e i responsabili dei gruppi di audit. La competenza devrebbe essere valutata attraverse un processo che tenga cente del comportamento persenale e della capacita di applicare le cenoscenze e le abilita acquisite attraverse i’istruzione, Vesperienza lavorativa, la formazioneaddestramento da auditor e Fesperienza nella conduzione di audit. Questo processo devrebbe tener cente delle esigenze del programma di audit e dei suei obiettivi. Alcune delle cenoscenze e abilita sono comuni agli auditor di qualsiasi disciplina di sistema di gestione; altre sono speoitiche per singole discipline di sistemi di gestiene. Non e necessario che ciascun auditor, all’interne del gruppe di audit, possegga ia stessa cempetenza; tuttavia, eccorre che la competenza complessiva del gruppo di audit sia sufticiente per raggiungere gli obiettivi deII‘audit. La valutazione della competenza delI’auditor dovrebbe essere pianiticata, attuata e documentata in conformita al programma di audit, ccmprese le sue procedure, per fornire un risultato che sia oggettivo, coerente, giusto e aftidabile. ll processo di valutazione dovrebbe comprendere quattro fasi principali, come segue: a) determinare la competenza del personale che esegue l’audit necessaria per soddisfare le esigenze del programma di audit; b) defiriire i criteri di valutazione; c) selezionare il metodo appropriate di valutazione; d) condurre la valutazione. liesito del processo di valutazione dovrebbe fornire una base per quanto segue; – la selezione dei membri del gruppo di audit; – la determinazione della necessita di miglioramento della competenza; – la valutazione continue delle prestazioni degli auditor. Gli auditor dovrebbero sviluppare, mantenere e migliorare la loro competenza attraverso Ie sviluppo professionale continue e la partecipazione regolare ad audit. Un processo per la valutazione degli auditor e dei responsabili del gruppo di audit. Gli auditor e i responsabili dei gruppi di audit dovrebbero essere valutati a fronte dei criteri stabiliti. La competenza richiesta per Ia persona che gestisce il programma di audit.
Determinazione della competenza deII’auditer per soddisfare Ie esigenze del programma di auditNel decidere le opportune conoscenze ed abilita richieste aIl’auditor, si dovrebbe tener conto dei seguenti elementi: – la dimensione, il tipo e la complessila dellorganizzazione da sottoporre ad audit; – Ie discipline del sistema di gestiorie da sottoporre ad audit; – gli obietlivi e Vestensione del programma di audit; – gli altri requisiti, quali quelli imposti da organismi esterni, ove appropriate; – il molo del prooesso di audit nel sistema di gestione dellorganizzazione oggetto dell’audit; – la complessita del sistema di gestione da sottoporre ad audit; – l’incertezza nel raggiungimento degli obiettivi di audit.
Conoscenze e abilita di carattere generate degli auditor di sistemi di gestioneGli auditor dovrebbero avere conoscenze e abilita nelle aree di seguito evidenziate. a) Principi, procedure e metodi di audit: le conoscenze e abilita in quesfarea consentono all‘auditor di applioare, a differenti audit, appropriati principi, procedure e metodi e di garantire che gli audit siano condotti in modo coerente e sistematico. Un auditor dovrebbe essere in grado di fare quanto segue: – applicare I principi, le procedure e i metodi di audit; – pianificare e organizzare il lavoro in modo eftlcace; – condurre l’audit entro l’arco di tempo concordato; – dare priorita e concentrarsi su aspetti significativi; – raccogliere informazioni attraverso efficaoi modalita di interviste, ascoito, osservazione e riesame di documenti, registrazioni e dati; – comprendere e tener oonto delle opinioni degli esperti; – comprendere ladeguatezza e le conseguenze dell’utilizzo di tecniche di campionamento per le attivita di audit; – verificare la pertinenza e Vesattezza delle informazioni raccolte; – confermare Ia sufticiente quantita e Vappropriatezza delle evidenze delI’audit al fine di supportare le risultanze e le conclusioni dell’audit; – valutare i fattori che possono influenzare Vaffidabilita delle risultanze e delle conclusioni dell’audit; – utilizzare dooumenti di lavoro per registrare Ie attivita di audit; – documentare le risultanze dell’audit e preparare appropriati rapporti di audit; – mantenere la riservatezza e ia sicurezza delle informazioni, dei dati, dei documentl e delle registrazioni; – comunicare efficacemente, oralmente e per iscritto; – comprendere i tipi di rischi assooiati aIl’attivita di audit. b) Sistema di gestione e documenti di riferimentoz le conoscenze e abilita in quesfarea consentono all’auditor di comprendere il campo dl appllcazlone dell’audit e di applicare i criteri di audit; esse dovrebbero lncludere quanto segue: – le norme di sistemi di gestione e altri documenti utilizzati come criteri di audit; – Fapplicazione dl norme di sistemi di gestione da parte deltorganizzazione oggetto dell’audit e, ove appropriate, di altre organizzazionig – l‘interazione tra gli elementi del sistema di gestione; – il riccnoscimento deIl’ordine gerarchico tra i documenti dl riferimento; – Vapplicazlone dei dooumenti di riferimento a difterenti situazloni di audit. c) Contesto organizzativoz le conoscenze e abilita in quest’area consentono all’auditor di cornprendere la struttura, le prassi aziendali e di gestione dellbrganizzazione oggetto dell’audit, e dovrebbero includere quanto segue: – il tipo, la governance, la dimensione, la struttura, le funzioni e le relazloni deltorganizzazloneg – i concetti generali d’impresa e di gestione, i processi e la relativa terminologia, compresi la pianiticazione, la definlzlone del budget e la gestione del personale; – aspettl culturali e sociali relativi altorganizzazione oggetto dell’audit. d) Requisiti legali e contrattuali applicabili e altri requisiti che si applicano allbrganizzazione oggetto dell’audit: le conoscenze e abilita in quest‘area conseniono alI’audlter di essere consapevole e di operare nell’ambito dei requislti legali e contrattuali dellbrganizzazione. Le conoscenze e le abilita specitiche lnerentl il contesto giurldioo e le attivita ed i prodotti deltorganizzazione oggetto deIl’audit, dovrebbero includere quanto segue: – le leggi e i regolamenti e le autorita incaricate di gestirli; – la terminologia legale di base; – la delinizione di contratti e gli obblighi di legge.
Conoscenze e ablllta degli auditor dl slstemi di gestione specifiche della disclplina e del settoreGli auditor dovrebbero avere le conoscenze e le abilita specifiche della disciplina e del settore che sono appropriate per le attlvita di audit del particolare tipo dl sistema di gestione e di settore, Non e richlesto che ogni auditor, alI’interno del gruppo di audit, possieda la stessa competenza; tuttavia, é necessario che la competenza complessiva del gruppo di audit sia sufficiente per raggiungere gli obiettivi di audit. Le conoscenze e le abilita degli auditor specifiche della discipline e del settore comprendono quanto segue: – i requisiti e i prlncipi del slstema di gesticne specitici della disciplina e la Ioro applicazione; – i requisiti legali pertinenti alla disciplina ed al setlore, in modo tale che l‘auditor sia consapevole dei requislti speclflcl del contesto giuridlco e degli obbllghi, delle attivita e dei prodotti deltorganizzazione oggetto dell‘audlt; – i requisiti delle parti interessate pertinenti alla disciplina specifica; – gli elementi fondamentali della disciplina e l‘applicaziene delle metodologie, tecniche, processi e prassi, di business e di natura tecnica, specitici della disciplina, sufticienti per consentire all’auditor di esaminare il sistema di gestione e di produrre adeguate risultanze e conclusioni di audit; – le conoscenze specifiche della disciplina relative al particolare settore, il tipo delle attivita o il luogo di lavoro sottoposti ad audit, sufflcienti all’auditor per valutare le attivita, i processi ed i prodotti dellorganlzzazione oggetto dell’audlt; – i princlpi, i metodi e le tecniche di gestione del rischio pertinenti alla discipline e al settore, per consentire all’auditor di valutare e tenere sotto controllo i risohi associati al programma di audit.
Conoscenze ed abilita di carattere generale di un responsabile di gruppo di auditI responsabili di gruppi di audit dovrebbero avere conoscenze e abilita aggiuntive per gestire e guidare il gruppo di audit, al fine di facilitare la conduzione efiiciente ed efficace deIl’audit stesso. Il responsabile di un gruppo di audit dovrebbe avere le conoscenze e abilita necessarie per fare quanto segue; a) bilanciare i punti di forza e di debolezza dei singoli membri dei gruppo di audit; b) sviluppare un rapporto armonioso dl Iavoro tra i membri dei gruppo di audit; c) gestire il processo di audit, compresi: – pianificare l’audit e fare un utilizzo efiicace delle risorse nel corso delI’audit stesso, – gestire l’incertezza associata al raggiungimento degli obiettivi di audit. – tutelare la salute e la sicurezza sul lavoro dei membri del gruppo di audit durante l’audit stesso, assicurando il rispetto, da parte degli auditor, dei requisili pertinenti di salute, sicurezza sul lavoro e di security, – organizzare e dirigere i membri del gruppo di audit, – fornire Ia direzione e la guida agli auditor in addestramento, – prevenire e risolvere I conflitti, se necessario; d) rappresentare il gruppo di audit nei processi di comunicazione verso la persona che gestisce il programma di audit, il committente deII’audit e I’erganizzazione oggetto dell’audit; e) portare il gruppo di audit a raggiungere Ie conclusioni deIl’audlt; t) preparare e completare il rapporto di audit.
Conoscenze e abilita per le attivita di audit di sistemi di gestione riguardanti piu disciplineGli auditor che intendono partecipare, come membri di un gruppo di audit che sottopone ad audit sistemi di gestione riguardanti piu discipline, dovrebbero avere la competenza necessaria per sottoporre ad audit almeno una delle discipline di sistemi di gestione e avere una comprensione dell’interazione e della sinergia trai diversi sistemi di gestione. I responsabili di gruppi di audit che conducono audit di sistemi di gestione riguardanti piu discipline dovrebbero comprendere i requisiti di ciascuna delle norme di sistema di gestione e riconoscere i limiti delle loro conoscenze e abilita in oiascuna delle discipline.
Acquisizione della competenza di auditorLe conoscenze e Ie abilita di auditor possono essere acquisite utilizzando una combinazione dei seguenti elementi: – istruzione/formazione-addestramento formali ed esperienza che contribuiscono allo sviluppo di conoscenze e abilita nella disciplina e nel settore del sistema di gestione che I’auditor intende sottoporre ad audit; – programmi di formazione-addestramento che includono le conoscenze e abilita di carattere generale deIl‘auditor; – esperienza in una pertinente posizione tecnica, manageriale o professionale, che comporta la iormulazione di giudizi, il prendere decisioni, Ia soluzione di problemi e Ia comunicazione verso dirigenti, professionisti, pari grado, clienti ed altre parii interessate; – esperienza di audit aoquisita sotto la supervisione di un auditor nella stessa disciplina.
Responsabili di gruppi di auditUn responsabile di un gruppo di audit dovrebbe aver acquisito un’esperienza di audit aggiuntiva per sviluppare le conoscenze e le abilita. Questa esperienza aggiuntiva dovrebbe essere stata conseguita Iavorando sotto la direzione e guida di un altro responsabile di gruppo di audit.
Definizione dei criteri di valutazione dell’auditorI criteri dovrebbero essere qualitativi (quali I‘aver dimostrato, durante la formazione e addestramente e sul posto di Iavoro, il comportamento personale, le conoscenze e la messa in pratica delle abilita) e quantitativi (quail gli anni di esperienza lavorativa e di istruzione, il numero di audit condotti, le ore di formazioneaddestramento di audit).
Selezione del metodo appropriato di valutazione deIl’auditerLa valutazione dovrebbe essere condotta utilizzando due o piu tra i metodi dovrebbe notare quanto segue: – i metodi delineati rappresentano una gamma di opzioni e possono non essere applicabili a tutte le situazioni; – i vari metodi delineati possono diflerire per il loro grado di affidabilita; – per garantire un risultato che sia oggettivo, coerente, giusto e affidabile, dovrebbe essere utilizzata una combinazione dei metodi.
Conduzione della valutazione dell’auditorLe informazioni raccolte sulla persona dovrebbero essere controntate con i criteri stabiliti. Quando una persona che si prevede debba partecipare al programma di audit non soddisfa i oriteri, si dovrebbero eseguire tormazione-addestramento, esperienza di lavoro e di audit aggiuntivi e dovrebbe essere eseguita una successiva rivalutazione.
Mantenimento e miglioramento della competenza dell’auditorGli auditor e i responsabili dei gruppi di audit dovrebbero migliorare in modo continuo Ia loro competenza. Gli auditor dovrebbero mantenere Ia loro competenza nelle attivita di audit attraverso la partecipazione regolare ad audit di sistemi di gestione e mediante Ie sviluppo protessionale continuo. Lo sviluppo protessionale continuo oomporta il mantenimento ed il miglioramento della competenza. Questo puo essere raggiunto atlraverso mezzi quail ulteriori; esperienza lavorativa, tormazione-addestramento, studio personaie, coaching, partecipazione a riunioni, seminari e oonferenze e altre attivita pertinenti. La persona che gestisce il programma di audit dovrebbe stabilire idonei meccanismi per Ia valutazione continua delle prestazioni degli auditor e dei responsabili dei gruppi di audit. Le attivita di sviluppo prolessionale continuo dovrebbero tener conto di quanto segue: – le moditiche nelle esigenze del singolo e dellorganizzazione responsabile della conduzione delI’audit; – Ie prassi deIl’attivita di audit; – Ie norme pertinenti e altri requisiti.