Audit Interno ISO: Una Guida
Audit Interno ISO: Una Guidain Linguaggio Semplice1
Altre opere dell’autore:Secure & Simple: A Small-Business Guide to Implementing ISO27001 On Your Own9 Steps to Cybersecurity: The Manager’s Information SecurityStrategy ManualBecoming Resilient: The Definitive Guide to ISO 22301ImplementationISO 27001 Risk Management in Plain EnglishISO 27001 Annex A Controls in Plain EnglishPreparing for ISO Certification Audit: A Plain English GuideManaging ISO Documentation: A Plain English GuidePreparations for the ISO Implementation Project: A Plain EnglishGuide2
Dejan KosuticAudit Interno ISO: Una Guidain Linguaggio SempliceUna Guida Passo dopo Passo per Auditor Interniin Aziende di Piccole DimensioniAdvisera Expert Solutions LtdZagabria, Croazia3
Copyright 2017 di Dejan KosuticTutti i diritti riservati. Nessuna parte di questo libro può essereriprodotta, conservata in un sistema che ne permetta il recupero oessere trasmessa in qualsiasi forma o con qualsiasi mezzo, elettronico,meccanico, né fotocopiata, registrata o altro senza l’autorizzazionescritta dell'autore, a eccezione di brevi citazioni all’interno di unarecensione.Limitazione di Responsabilità / Esclusione di Garanzie: sebbenel'editore e l'autore abbiano utilizzato i propri sforzi per la preparazionedi questo libro, non è presentata alcuna garanzia riguardoall'esattezza o completezza del contenuto di questo libro e dicommerciabilità o idoneità per uno scopo particolare. Questo libronon contiene tutte le informazioni disponibili sull'argomento. Questolibro non è stato creato per essere specifico per la situazione o leesigenze di qualsiasi individuo o organizzazione. Se necessario,consultare un professionista. L'autore e l'editore non sono responsabilinei confronti di alcuna persona o ente in relazione a eventuali perditeo danni causati, direttamente o indirettamente, dalle informazionicontenute nel presente libro.Prima edizione pubblicata da Advisera Expert Solutions LtdZavizanska 12, 10000 ZagabriaCroaziaUnione Europeahttp://advisera.com/ISBN: 978-953-8155-11-6Prima Edizione, 2017Titolo originale: “ISO Internal Audit: A Plain English Guide”Tradotto dall'inglese da Laura Perreca4
L’AUTOREDejan Kosutic è autore di numerosi articoli, video tutorial,modelli di documentazione, webinar e corsi sulla ISO 27001, ISO22301 e altre norme ISO. È l'autore del principale blog su ISO27001 e ISO 22301 e ha supportato varie organizzazioni, tra cuiistituti finanziari, agenzie governative e aziende di IT,nell’implementazione di sistemi di gestione di sicurezzainformatica in relazione a queste norme. Ha ottenuto numerosicertificati, tra cui quello di Lead Auditor ISO 27001 e LeadAuditor ISO 9001.Clicca qui per vedere il suo Profilo LinkedIn.5
SOMMARIOL’AUTORE . 5PREFAZIONE . 8RINGRAZIAMENTI . 101INTRODUZIONE . 111.1 PERCHÉ LE AZIENDE HANNO BISOGNO DI SVOLGERE DEGLI AUDITINTERNI . 111.2 ISO 19011 – UNA NORMA FOCALIZZATA SUGLI AUDIT . 131.3 CHI DOVREBBE LEGGERE QUESTO LIBRO? . 131.4 COME LEGGERE QUESTO LIBRO. 141.5 QUELLO CHE NON TROVERAI IN QUESTO LIBRO. 141.6 ULTERIORI RISORSE . 152ELEMENTI DI BASE DELL'AUDIT INTERNO . 162.1 AUDIT INTERNO ED ESTERNO A CONFRONTO . 162.2 LO SCOPO PRINCIPALE DELL’AUDIT INTERNO . 172.3 I REQUISITI DELL’AUDIT INTERNO NELLE NORME ISO . 182.4 CAPACITÀ, COMPETENZE E QUALIFICHE DELL’AUDITORINTERNO . 192.5 RILIEVI DI AUDIT: NON CONFORMITÀ E OSSERVAZIONI. 212.6 NON CONFORMITÀ MAGGIORI E MINORI. 232.7 AUDIT INTERNO A CONFRONTO CON LA VALUTAZIONE DEIRISCHI . 252.8 AUDIT INTERNO E GAP ANALYSIS . 263ORGANIZZARE UN AUDIT INTERNO . 293.1 OPZIONI PER CONDURRE UN AUDIT INTERNO E RUOLO DELL’ALTADIREZIONE . 293.2 TRE DOCUMENTI CHIAVE PER ORGANIZZARE L’AUDIT INTERNO . 303.3 LA PROCEDURA DI AUDIT INTERNO . 313.4 IL PROGRAMMA ANNUALE DI AUDIT . 323.5 IL PIANO DI AUDIT PER UN SINGOLO AUDIT . 343.6 FATTORI DI SUCCESSO . 356
4LE FASI DEL PROCESSO DI AUDIT INTERNO . 374.1 LE 7 FASI PER CONDURRE L’AUDIT INTERNO . 374.2 SVOLGERE IL RIESAME DEI DOCUMENTI. 384.3 CREARE UNA CHECKLIST PER L’AUDIT INTERNO. 404.4 SCRIVERE IL RAPPORTO DI AUDIT INTERNO . 434.5 AVVIARE LE AZIONI CORRETTIVE . 444.6 FOLLOW-UP DELL'AZIONE CORRETTIVA. 454.7 FATTORI DI SUCCESSO . 465CONDURRE LA PARTE PRINCIPALE DELL’AUDIT . 475.1 FARE IPOTESI: L'ERRORE PIÙ GRANDE PER L’AUDITOR. 475.2 SCOPO DELLA RIUNIONE DI APERTURA. 485.3 TECNICHE PER TROVARE LE EVIDENZE DURANTE L’AUDITSUL SITO . 495.4 PRENDERE CAMPIONI DI REGISTRAZIONI . 505.5 REGISTRARE LE EVIDENZE DURANTE L'AUDIT . 515.6 TECNICHE DI INTERVISTA DURANTE L’AUDIT . 525.7 RIUNIONE DI CHIUSURA. 545.8 FATTORI DI SUCCESSO . 556 CAPITOLO EXTRA: SVILUPPARE UNA CARRIERA COMEAUDITOR. 566.1 COME DIVENTARE UN AUDITOR DI CERTIFICAZIONE . 566.2 IN COSA CONSISTONO I CORSI PER LEAD AUDITOR E PER LEADIMPLEMENTER?. 576.3 CORSO PER LEAD AUDITOR E CORSO PER LEAD IMPLEMENTER ACONFRONTO – QUALE SCEGLIERE? . 58BIBLIOGRAFIA . 60INDICE . 627
PREFAZIONEQuando abbiamo pubblicato i nostri corsi online per auditorinterno sul sito web di eTraining Advisera, abbiamo subitocapito che c'è una grande richiesta su questo argomento. E,anche se gli studenti sono rimasti abbastanza soddisfatti deicorsi, è risultato evidente che molti avevano bisogno di avereanche del materiale scritto che li avrebbe guidati attraversol'audit interno.È per questo motivo che ho scritto questo breve libro, parte diuna collana di manuali, focalizzato esclusivamente su comeeseguire un audit interno. Ho scritto questo libro in modo taleche sia perfettamente utilizzabile per qualsiasi sistema digestione, inclusi ISO 9001, ISO 14001, ISO 27001, ISO 20000,ISO 22000, OHSAS 18001, ISO 13485 e IATF 16949.Questo libro, intitolato “Audit Interno ISO: Una Guida inLinguaggio Semplice”, si basa principalmente sui suddetti corsionline per auditor interno, ed è stato pubblicato con soltantoqualche dettaglio in meno. Se lo confronti con il programma deicorsi per auditor interno, vedrai qui le stesse sezioni, con quasilo stesso testo - come ho già detto, il testo è stato adattato inmodo da essere leggibile dal punto di vista di qualsiasi normaISO.Allora perché avere due strumenti didattici che presentano quasilo stesso testo? Perché ho voluto fornire un rapido riferimentoscritto per le persone che conducono un audit, che potrebberonon avere il tempo di partecipare al corso ogni volta chevogliono per ripassare alcune parti. Direi che la partecipazione alcorso per auditor interno e la lettura di questo libro offrono unaperfetta combinazione di apprendimento, che avviene attraverso8
Prefazioneun supporto visivo e fa riferimento al supporto testuale per idettagli.Potresti anche essere sconcertato dal fatto che questo libro siapiuttosto breve, quando esistono sul mercato altri opere moltopiù ampie e dettagliate sugli audit ISO. È davvero possibilespiegare un argomento così complesso in un libro così breve?Ebbene, ci sono tre risposte a questa domanda:In primo luogo, questo libro è incentrato solo sugli audit interni,che sono molto più semplici degli audit di certificazione. Insecondo luogo, questo libro è scritto per gli audit interni nelleaziende più piccole - pertanto ho semplificato i passaggi, inmodo che il tuo audit possa essere svolto piuttosto rapidamente,e ho tralasciato intenzionalmente la maggior parte deglielementi che sarebbero necessari solo per aziende più grandi.Terzo, e più importante, ho seguito la mia missione aziendale:"Rendiamo le strutture complesse facili da comprendere esemplici da usare". In altre parole, è facile complicare le cose,ma è difficile renderle semplici da capire. Così, quando inizierai aleggere questo libro, noterai che ho eliminato tutti i discorsidifficili da comprendere, tutti i dettagli inutili e mi sonoconcentrato esattamente su ciò che deve essere fatto, in unlinguaggio comprensibile ai principianti che non hanno avutoprecedenti esperienze di audit interni ISO.Quindi, non ti preoccupare: se sei un auditor di una piccolaazienda, usando questo libro sarai in grado di condurre il tuoprimo audit interno - ti porterà passo dopo passo attraversotutto il processo, senza stress.9
RINGRAZIAMENTIUn ringraziamento speciale a Strahinja Stojanovic, che ha fattoun ottimo lavoro nello sviluppo dei corsi online per auditorinterni ISO 9001 e ISO 14001 che sono stati utilizzati come baseper questo libro. Un grazie anche a Mark Hammar per il suotesto sulla gap analysis.10
1INTRODUZIONEPerché l'audit interno è così importante per i sistemi di gestionee come può essere utile per l'azienda? Cosa troverai in questolibro? E ancora, questo libro è la scelta giusta per te?Nota: Questo libro riguarda il processo di audit interno per tuttele norme di gestione ISO - ISO 9001, ISO 14001, ISO 27001, ISO20000 e ISO 13485, ma anche OHSAS 18001 e IATF 16949 (exISO / TS 16949) – per cui, quando mi riferisco a una "normaISO" o semplicemente "norma", intendo qualunque norma traquelle elencate sopra. Inoltre, quando menziono un "sistema digestione", intendo un sistema conforme a una di queste norme- ad esempio, il Sistema di Gestione per la Qualità secondo laISO 9001, il Sistema di Gestione della sicurezza informaticasecondo la ISO 27001, ecc.1.1 Perché le aziende hanno bisogno di svolgere degliaudit interniDalla mia esperienza come auditor di certificazione, la tristeverità è che la maggior parte delle organizzazioni svolge degliaudit interni solo per soddisfare l'ente di certificazione.Tali audit interni di solito scoprono alcune non conformitàminori ma non scavano nei problemi reali del sistema di gestioneaziendale. Ed è un vero peccato perché si tratta di uno spreco ditempo - se le aziende hanno investito il tempo dei loro auditorinterni per svolgere questa attività, dovrebbero trarne deivantaggi.11
Audit Interno ISO: Una Guida in Linguaggio SempliceIl motivo di condurre degli audit interni è che questi dovrebberoportare alla luce dei problemi che altrimenti rimarrebberonascosti, causando dei danni all’azienda. Siamo realistici commettere degli errori è umano e quindi è impossibile avere unsistema senza errori. È possibile tuttavia avere un sistema che simigliora e che impara dai propri errori. Gli audit interni sono unaparte cruciale di un tale sistema.D’altra parte, in qualità di auditor di certificazione ho vistoalcune organizzazioni eseguire audit interni nel modo giusto eper le ragioni giuste. Sebbene i loro dipendenti si sentissero unpoco a disagio ad avere un auditor interno che controllava il lorolavoro, ben presto hanno compreso i vantaggi di un simileapproccio - i problemi esistenti erano stati evidenziati, rendendocosì possibile una loro rapida risoluzione.Come è possibile ottenere questi benefici dall’audit interno?Ecco alcuni suggerimenti:1) La direzione dovrebbe considerare l'audit interno comeuno degli strumenti più efficaci per migliorare il sistema,non solo come un mezzo per ottenere la certificazione.2) L’auditor interno dovrebbe essere una persona adatta perquesto incarico - ciò significa che deve essere qualificatoma anche motivato e addestrato a svolgere questolavoro.3) L'audit interno dovrebbe essere eseguito in modopositivo: l'obiettivo deve essere quello di migliorare ilsistema, non di incolpare i dipendenti per i loro errori.In questo libro spiegherò come fare a ottenere tutto questo.12
Introduzione1.2 ISO 19011 – Una norma focalizzata sugli auditEsiste una norma ISO che descrive come condurre gli audit - sichiama ISO 19011. Questa norma spiega i principi dell’audit,come gestire il programma di audit, le attività richieste durantel'audit e le conoscenze necessarie agli auditor.I principi della ISO 19011 possono essere utilizzati per qualsiasitipo di audit - un audit di certificazione, un audit presso ifornitori e, naturalmente, un audit interno.In questo libro ho incluso tutti i principi fondamentali della ISO19011 e li ho ridimensionati ai fini dell'audit interno. Siccome unaudit interno non è complesso come un audit di certificazione,ho semplificato molte delle linee guida della ISO 19011 perrenderle facili da seguire durante lo svolgimento di un auditinterno in un’azienda di piccole dimensioni.1.3 Chi dovrebbe leggere questo libro?Questo libro è scritto soprattutto per i principianti nellaconduzione di audit interni e per le persone con una conoscenzanon approfondita sugli audit interni - ho strutturato questo libroin modo tale che una persona che non abbia esperienze oconoscenze precedenti sugli audit interni possa capirerapidamente il funzionamento del processo di audit e quali sianole fasi per condurlo in modo efficace.D'altra parte, anche se hai già esperienza di audit interni masenti di avere ancora alcune lacune su questo argomento,troverai questo libro molto utile.13
Audit Interno ISO: Una Guida in Linguaggio Semplice1.4 Come leggere questo libroQuesto libro è scritto come una guida passo dopo passo per laconduzione degli audit e i capitoli dal 2 al 5 devono essere lettinell'ordine esatto in cui sono scritti, perché questa sequenzarappresenta il modo migliore per pianificare e condurre un auditinterno.Ecco alcune ulteriori caratteristiche di questo libro cherenderanno più facile leggerlo e metterlo in pratica: Alcune sezioni contengono dei suggerimenti riguardo adegli strumenti gratuiti e dei documenti da utilizzaredurante l'audit interno. Alla fine dei capitoli principali, troverai una sezionechiamata "Fattori di successo", che evidenzierà quelloche su cui è necessario concentrarsi. Alla fine del libro troverai un capitolo che ti aiuterà adecidere se vuoi intraprendere la carriera di auditor dicertificazione.1.5 Quello che non troverai in questo libroQuesto libro riguarda il processo di audit interno; non spiegacome certificare la tua azienda o come implementare la norma il processo di implementazione è molto lungo e comportamoltissimi passaggi che non rientrano nello scopo di questolibro.Questo libro non ti fornirà dei modelli già compilati per lepolitiche, le procedure e i piani per lo svolgimento di un auditinterno, tuttavia ti spiegherà di quali documenti hai bisogno percondurre un audit interno e come strutturare tali documenti.14
IntroduzioneQuesto libro non è una copia di una qualsiasi norma ISO - nonpuoi sostituire la lettura della norma con la lettura di questolibro. Questo libro intende spiegare come interpretare le clausoleISO sull'audit interno e descrivere le pratiche migliori dautilizzare durante lo svolgimento dell'audit interno.Poiché questo libro è incentrato sull’audit interno, non spiegaaltri elementi delle norme ISO come la gestione dei documenti,la gestione del rischio, le attività operative, le misurazioni, ecc.1.6 Ulteriori risorseEcco alcune risorse che ti aiuteranno, insieme a questo libro, ascoprire il funzionamento del processo di audit interno: Corsi ISO online – corsi gratuiti online per auditor interniin conformità alle norme ISO 9001, ISO 14001 e ISO27001. Download gratuiti ISO 27001, download gratuiti ISO9001, e download gratuiti ISO 14001 – una raccolta dilibri bianchi, checklist, diagrammi, modelli ecc. Conformio – un sistema di gestione documentale (SGD)basato su cloud e uno strumento di gestione dei progettiincentrato sulle norme ISO che può essere utilizzato aifini dell’audit. Kit Documentazione per Audit Interni ISO 9001 – un setdi tutti i modelli dei documenti richiesti per losvolgimento dell’audit interno. Kit analoghi sonodisponibili per altre norme ISO. La pagina ufficiale del sito web della ISO – qui potraiacquistare la versione ufficiale di tutte le norme ISO.15
2ELEMENTI DI BASE DELL'AUDITINTERNOIn questo capitolo fornirò una panoramica sull'audit interno afronte delle norme ISO: il suo scopo principale, come l’auditinterno sia diverso da quello esterno (audit di certificazione), gliesatti requisiti delle norme ISO, come scegliere un auditorinterno, i principali risultati del processo di audit interno, ecc.2.1 Audit interno ed esterno a confrontoCome indicato in precedenza, la ISO 19011 è una norma chedescrive come condurre gli audit - questa norma definisce l’auditinterno come "condotto da o per conto dell'organizzazionestessa per il riesame della direzione e altri scopi interni". Ciòsignifica fondamentalmente che l'audit interno è eseguito daituoi dipendenti oppure da un auditor esterno assunto pereseguire l'audit per conto della tua azienda.L'audit esterno, invece, è condotto da un ente terzo per proprioconto - nel mondo ISO, l'audit di certificazione è il tipo piùcomune di audit esterno svolto da un ente di certificazione.È inoltre possibile comprendere la differenza tra audit interno edesterno nel modo seguente: i risultati dell'audit interno sarannoutilizzati solo all’interno della tua azienda, mentre i risultatidell'audit esterno saranno utilizzati anche esternamente (adesempio, se superi l'audit di certificazione, otterrai un certificatoche verrà utilizzato pubblicamente). L'audit interno, invece, è16
Elementi di base dell'audit internoincentrato su come migliorare il tuo sistema di gestione, comespiegherò nella prossima sezione.2.2 Lo scopo principale dell’audit internoPurtroppo, lo scopo dell’audit interno viene molto spessofrainteso - di solito viene percepito come un'attività burocraticasenza alcun beneficio reale. Tuttavia, lo scopo principaledell’audit interno è quello di contribuire a migliorare il modo incui il sistema è gestito all’interno della tua azienda - questomiglioramento è possibile perché l’auditor è in una posizioneperfetta per vedere esattamente cos’è che non sta andandobene e, avendo una conoscenza più approfondita, può aiutare arisolvere questi problemi.I vantaggi dell'audit interno sono molteplici. Oltre almiglioramento del sistema di gestione, l'audit interno è laprincipale fonte di informazioni per il riesame della Direzione.Inoltre, un aspetto molto importante è che attraverso l’auditinterno viene sollevata la consapevolezza dei dipendenti, adesempio dei problemi relativi alla qualità nel sistema di gestioneper la qua
gestione, inclusi ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22000, OHSAS 18001, ISO 13485 e IATF 16949. Questo libro, intitolato “Audit Interno ISO: Una Guida in Linguaggio Semplice”, si basa principalmente sui suddetti corsi online per auditor interno, ed è
2. Tasto regolazione altezza lama 3. Tasto ON/OFF 4. Display ( indicatore di carica 20/40/60/80/100 % , simbolo in carica, simbolo blocco) 5. Cappuccio di protezione o pettine regolabarba 6. Pettine guida 4-6 mm 7. Pettine guida 7-9 mm 8. Pettine guida 10-12 mm 9. Pettine guida 16-18 mm 10. Pettine guida 22-24 mm 11. Pettine guida 28-30 mm 12.
ISO 10381-1:2002 da ISO 10381-2:2002 da ISO 10381-3:2001 da ISO 10381-4:2003 da ISO 10381-5:2001 da ISO 10381-6:1993 da ISO 10381-7:2005 ne ISO 10381-8:2006 ne ISO/DIS 18512:2006 ne ISO 5667-13 da ISO 5667-15 da Priprema uzoraka za laboratorijske analize u skladu s normama: HRN ISO 11464:2004 ne ISO 14507:2003 ne ISO/DIS 16720:2005 ne
ISO 10771-1 ISO 16860 ISO 16889 ISO 18413 ISO 23181 ISO 2941 ISO 2942 ISO 2943 ISO 3724 ISO 3968 ISO 4405 ISO 4406 ISO 4407 ISO 16232-7 DIN 51777 PASSION TO PERFORM PASSION TO PERFORM www.mp ltri.com HEADQUARTERS MP Filtri S.p.A. Via 1 Maggio, 3 20060 Pessano con Bornago (MI) Italy 39 02 957
ISO 18400-107, ISO 18400-202, ISO 18400-203 and ISO 18400-206, cancels and replaces the first editions of ISO 10381-1:2002, ISO 10381-4:2003, ISO 10381-5:2005, ISO 10381-6:2009 and ISO 10381-8:2006, which have been structurally and technically revised. The new ISO 18400 series is based on a modular structure and cannot be compared to the ISO 10381
The DIN Standards corresponding to the International Standards referred to in clause 2 and in the bibliog-raphy of the EN are as follows: ISO Standard DIN Standard ISO 225 DIN EN 20225 ISO 724 DIN ISO 724 ISO 898-1 DIN EN ISO 898-1 ISO 3269 DIN EN ISO 3269 ISO 3506-1 DIN EN ISO 3506-1 ISO 4042 DIN
Guida CEI 0-10 - Guida alla manutenzione degli impianti elettrici.21 1.11. Guida CEI 64-14 - Verifiche degli impianti utilizzatori. 22 1.12. Guida CEI 0-14 di applicazione al D.P.R. 462/01 per le verifiche degli impianti elettrici - semplificazione del procedimento per .
ISO 9001:2015 QMS and ISO 14001:2015 EMS and ISO 45001:2018 Internal audit 6. Principals of Quality Management System-ISO 9001:2015 7. ISO 9001 and 14001 and ISO 45001:2018 EQHSMS audit records 8. Table of Documented information Summary against ISO 9001:2015 and ISO 14001:2015 require
Simulink to STM32 MCUs Automate –the process from "C" code generation to programming STM32 F4 or STM32F30x –Code generation reporting –Code execution profiling reporting for PIL execution. 13 Summary for STM32 embedded target for MATLAB and Simulink release 3.1: Supported MCUs: STM32 F4 and F30x series Automated Processor-in-the-Loop (PIL) Testing using USART communication link Support .
