Come recita la norma di riferimento , la “UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione”:
l’audit è un processo sistematico, indipendente e documentato per ottenere le evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti.
Un’organizzazione, tipicamente, ha l’esigenza di condurre audit per determinazione la conformità e l’efficacia del sistema di gestione dell’organizzazione oggetto dell’audit, per valutare i propri fornitori oppure per valutare il grado di rispetto di requisiti legislativi. L’ audit, e quindi i suoi criteri, può far riferimento ad una o più norme sui sistemi di gestione (es: ISO 9001,ISO27001), oppure ad una legge (es:D.lgs196/03, D.lgs 81/08, D.lgs 190/12) oppure all’insieme di questi e può essere condotto separatamente o in modo combinato.
Esistono diversi tipi di audit, così come riassunto dalla tabella seguente:
|
Audit Interno |
Audit esterno |
|
|
Audit del fornitore |
Audit di terza parte |
|
| Talvolta denominato audit di prima parte | Talvolta denominato audit di seconda parte | Per fini legali, per fini stabiliti da regolamenti e da altre prescrizioni obbligatorie in genere.Per la certificazione (vedere anche i requisiti di cui alla ISO/IEC 17021:2011) |
(Fonte UNI EN ISO 19011:2012”)
Gli audit, secondo necessità e possibilità possono essere condotti secondo la seguente tabella:
|
Estensione del coinvolgimento Tra l’auditor e l’organizzazione oggetto dell’audit |
In campo |
A distanza |
|
Interazione umana |
|
Per mezzo di mezzi di comunicazione interattiva:
|
|
Nessuna interazione umana |
|
|
|
Le attività di audit in campo sono svolte nel sito dell’organizzazione oggetto dell’audit. Le attività di audit a distanza sono svolte in qualsiasi luogo ad eccezione del sito dell’organizzazione oggetto dell’audit, indipendentemente dalla distanza. Le attività di audit interattivo implicano l’interazione tra il personale dell’organizzazione oggetto dell’audit e il gruppo di audit. Le attività di audit non interattive non implicano interazione umana con le persone che rappresentano l’organizzazione oggetto dell’audit, ma comportano l’interazione con apparecchiature, mezzi e documentazione. |
||
(Fonte UNI EN ISO 19011:2012”).
METODOLOGIA APPLICATA
Il ciclo proposto è composto da una serie di Audit che verranno condotti sui siti della Committente in accordo ad una check-list modellata secondo necessità. La check-list può far riferimento ad aspetti trattati dalle normative internazionali in settori quali i Sistemi di Gestione Qualità e Sicurezza delle Informazioni, ed agli aspetti legislativi nazionali in ambito Privacy, Ambiente e D.lgs 81/08, D.lsg 190/12,ecc, oppure a specifici requisiti della committente.
Gli audit verranno condotti secondo quanto previsto dalla norma UNI EN ISO 19011 “Linee guida per gli audit dei sistemi di gestione”.
L’attività di Audit può essere affiancata da un’attività di Risk Assessment che, attraverso la fase di Risk Analysis e Risk Evaluation, sarà in grado di mettere a sistema le Minacce, i Beni (asset aziendali) ed i Protettori, fornendo un elenco dei rischi che si corrono in base alla loro livello di criticità e per quelli maggiormente critici, verrà fornita una indicazione di Trattamento (Risk Treatment), che miri a ridurre/mitigare/eliminare il rischio tramite limitazione/eliminazione delle vulnerabilità evidenziate.