Linea Guida di NOBEL Certification Italia per l’esecuzione dell’audit tramite l’ICT

Cosa è l’ICT?

Per ICT (Information and Communications Technology) si intende l’utilizzo della tecnologia per raccogliere, archiviare, recuperare, elaborare, analizzare e trasferire le informazioni.

Che tipo di strumentazione è utilizzato dall’ICT?

Gli hardware e software come smartphone, palmari, laptop, desktop, droni, videocamere, le tecnologie indossabili (inclusi i dispositivi rilevabili e orologi comunicabili che possono scattare foto o che possiedono altre funzionalità come dei telefoni cellulari), l’intelligenza artificiale e non solo.

Quali tipi di audit/valutazione utilizzano l’ICT?

  • Le verifiche sul campo (on-site)
  • Le verifiche via remota (telematica)

Qual è lo scopo dell’utilizzo dell’ICT negli audit/valutazioni?

1. Fornire una metodologia per l’uso dell’ICT che sia sufficientemente flessibile e non prescrittivo in natura per ottimizzare il convenzionale processo di audit/valutazione.

2. Garantire l’esistenza dei controlli adeguati per prevenire gli abusi che potrebbero compromettere l’integrità del processo di audit/valutazione.

3. Sostenere i principi di sicurezza e sostenibilità.

È obbligatorio l’uso dell’ICT negli audit/valutazioni?

No, è facoltativo.

In quali ambiti specifici è richiesto l’uso obbligatorio dell’ICT negli audit/valutazioni?

Solo nelle circostanze insolite, per impedire la scadenza del credito annuale della certificazione, negli audit di sorveglianza e di ricertificazione, in conformità ai requisiti di IAF ID3:2011 “Documento informativo di IAF per la gestione di eventi o circostanze straordinarie che interessano gli AB, i CAB e le organizzazioni certificate accreditate”, e alle normative degli Organismi di Accreditamento come ACCREDIA , potrebbe essere obbligatorio.

Inoltre, quando l’organizzazione certificata/da certificare opera in modo Virtual Site o con una posizione virtuale, vale a dire che essa non ha una posizione e struttura fisica ed i suoi dipendenti, indipendentemente da dove si trovano, possono svolgere le loro attività solo e esclusivamente nell’ambito di un ambiente online, ad esempio, una società che fornisce i suoi prodotti o servizi solo attraverso un sito Web e senza distribuire il personale in una struttura fisica (come gli uffici, i siti di produzione, i magazzini, i laboratori, ecc.).

I limiti e le restrizioni nell’utilizzo dell’ICT negli audit/valutazioni

  • Quando l’organizzazione certificata/da certificare non dichiara il proprio consenso all’uso dell’ICT nel processo di audit/valutazione, o se manca delle infrastrutture dell’ICT appropriate (questo importante prerequisito è verificato dalla Nobel Certification nella fase della revisione dell’applicazione).
  • Laddove sia stata imposta qualche restrizione per l’uso dell’ICT da parte dell’Ente nazionale italiana di Accreditamento (ACCREDIA).
  • Qualora fossero imposte delle restrizioni di Legge da parte delle Autorità governative del paese in cui la Nobel Certification detiene l’audit/valutazione.

Ad esempio, in base alle circolari tecniche emesse dall’ACCREDIA sono autorizzate le verifiche in remoto per gli audit di sorveglianza e di ricertificazione, solo quando nella precedente verifica è stato verificato tutto lo scopo del certificato on-site, con la presenza fisica degli auditor e tramite l’osservazione diretta delle evidenze, documentazioni e le informazioni dell’organizzazione certificata/da certificare sul campo.

Quali sono i rischi più notevoli nell’uso dell’ICT negli audit/valutazioni?

  1. Rischio di compromettere la sicurezza delle informazioni dell’organizzazione certificata/da certificare.
  2. Rischio di ridurre la precisione e la correttezza delle evidenze ed i risultati dell’audit.
  3. Rischio di disconnessione dell’Internet o del malfunzionamento degli apparecchi e/o programmi dell’ICT durante l’audit/valutazione.

NOBEL Certification Italia, valutando attentamente i rischi associati all’uso dell’ICT negli audit/valutazioni, determina e attua delle contromisure adeguate per ridurre il livello di tali rischi.

Sicurezza e riservatezza

NOBEL Certification Italia in base alle sue dichiarazioni di politica operativa e di limiti, considerazioni e attività proibite, che fanno parte degli obblighi e gli impegni nella stipulazione dei contratti tra essa e le organizzazioni certificate/da certificare, si impegna a provvedere alla sicurezza e riservatezza delle informazioni relative alle organizzazioni alle quali ha accesso tramite l’uso dell’ICT negli audit/valutazioni, o che le mantiene nei propri archivi dai precedenti audit/valutazioni.

A questo riguardo, la NOBEL richiede ai suoi auditor di installare dei programmi di protezione dati come l’antivirus e altri strumenti di sicurezza sui loro pc, laptop e telefoni cellulari.
Inoltre negli accordi stipulati tra la NOBEL e gli auditor, essi sono tenuti a salvaguardare la riservatezza e sicurezza di tutte le informazioni delle organizzazioni certificate/da certificare alle quali accedono durante la verifica

Quando e come viene utilizzato l’ICT negli audit/valutazioni?

In tutte le sedute (comprese quelle dell’apertura e della chiusura dell’audit), le strutture di teleconferenza, inclusa la condivisione di audio, video e dati, ad esempio il software Skype, che è molto utile per la teleconferenza.

Per la verifica dei documenti e registri (dati documentati), in due modalità: 1) accesso simultaneo o sincronizzato: in questo modo si da accesso remoto all’auditor alla rete informatica interna dell’organizzazione certificata/da certificare che possiedono le informazioni necessarie relative all’audit; 2) accesso dissimultaneo o asincronizzato: se non fosse possibile instaurare l’accesso sincronizzato, allora l’organizzazione certificata/da certificare deve, durante il colloquio on-line, spedire immediatamente ad ogni richiesta dell’auditor le informazioni necessarie documentate via E-mail o WhatsApp, in modo che egli possa valutare le documentazioni, e chiedere maggiori informazioni a riguardo.

La registrazione delle informazioni e le evidenze tramite la registrazione video dalle immagini fisse (es: la registrazione video di un modulo completato, o da un apparecchio installato nella sala di produzione o dagli oggetti immobili), per la registrazione video semplice e ordinario, per la registrazione audio.

• Fornire accesso audio/video da remoto, ad esempio tramite una videochiamata via WhatsApp o Skype dal cellulare.

Programmazione degli audit/valutazioni da remoto tramite l’ICT

NOBEL Certification Italia, prima di eseguire gli audit/valutazioni, verifica la disponibilità della rete internet a banda larga, e gli smartphone a quantità sufficiente sui quali siano installati i programmi di WhatsApp e Skype, da parte di sia gli auditor che le organizzazioni certificate/da certificare, e si assicura che entrambi siano in grado di utilizzare tali software.

• Per le verifiche via remoto, se NOBEL ritiene che l’utilizzo dell’ICT può aggiungere ulteriori tempi, questa aggiunta di tempo va calcolato nella programmazione degli audit/valutazioni.

• Nella programmazione degli audit/valutazioni, NOBEL oltre alle solite informazioni necessarie e richieste per tutte le verifiche nella scheda del programma dell’audit, include delle indicazioni per gli auditor nell’ultima colonna (Note) della tabella, per ogni sezione di audit/valutazione, come riportate in seguito:
1. Come eseguire ogni sezione dell’audit.

2. Software e hardware ICT richiesti per l’audit.

3. Raccolta e campionamento di evidenze e le prove oggettive.

4. Considerazioni e limitazioni per la richiesta di informazioni documentate e le evidenze dell’audit dalle organizzazioni certificate/da certificare.

Esempio di programmazione degli audit/valutazioni da remoto tramite l’ICT

Importanti indicazioni circa l’esecuzione delle diverse sezioni dell’audit/valutazione da remoto

Seduta d’apertura
1- Tenere la riunione in videoconferenza con la presenza della dirigenza dell’organizzazione ed i responsabili dell’audit.

2- In questa sezione l’intervento è eseguito soltanto dal Lead auditor, e se il rappresentante dell’organizzazione certificata/da certificare abbia qualche domanda o suggerimenti importanti riguardo l’esecuzione dell’audit/valutazione da porre al Lead auditor, vanno ascoltate e prese in considerazione.

3- La grandezza dello schermo o il monitor utilizzato per videoconferenza deve essere abbastanza in modo tale che tutti i presenti nella seduta possano vedere bene il video del Lead auditor, inoltre devono essere installati degli altoparlanti da poter sentire chiaramente la voce del Lead auditor.

• Verifica dei processi gestionali, di supporto, calibrazione, analisi e miglioramento

1- Vanno eseguiti dei colloqui bilaterali tra l’auditor e il personale verificato.

2- Devono essere effettuate delle videochiamate utilizzando lo Skype dal laptop o pc.

3- Non è necessario il prelievo dei campionamenti relativi alle evidenze delle sezioni soggette all’audit da parte dell’auditor, basta solo assicurarsi della presenza di evidenze di campionamento attraverso una semplice osservazione di esse dall’auditor durante il colloquio bilaterali via Skype con il personale verificato.

4- Salvo i casi eccezionali, se l’auditor ritenga che non può fidarsi delle evidenze di campionamento visionate attraverso lo Skype, dovrà ricevere le evidenze originali (come la lista delle qualifiche del personale) per poter confrontare e definire la conformità dei processi verificati.

• Verifica dei processi realizzativi/operativi
1- Vanno eseguiti dei colloqui bilaterali tra l’auditor e il personale verificato.

2- Devono essere effettuate delle videochiamate utilizzando lo Skype dal laptop o pc.

3- Il personale verificato deve dimostrare dei video brevi dai siti operativi dell’organizzazione (produzione, magazzini, controllo qualità, ecc.) agli auditor in modo on-line (simultaneo/sincronizzato) dai propri cellulari via WhatsApp o Skype. Questa parte dell’audit è considerata come la Breve Visita del Sito.

4- Per la verifica dei processi relativi alle clausole 5-1-7, 2-8, 3-8, 6-8 e 7-8, è necessario che l’auditor riceva almeno una evidenza principale (come la tabella del piano della calibrazione) nel formato delle informazioni documentate dal personale verificato.

5- Nel caso delle clausole dell’ISO 9001 per l’audit del quale non è necessario acquisire le informazioni documentate, l’auditor deve richiedere dal personale verificato di mandargli qualche foto dalle evidenze relative (come da un’etichetta, apparecchi, strumenti di calibrazione, ecc.).

6- Il personale verificato deve fornire le evidenze richieste dall’auditor attraverso uno dei seguenti metodi:

i) durante l’audit/valutazioni delle clausole dello standard tramite Skype (simultaneo/sincronizzato).

ii) prima della revisione dei risultati dell’audit/valutazione e della preparazione del rapporto dell’audit/valutazione via E-mail o WhatsApp (dissimultaneo/asincronizzato).

• Revisione dei risultati dell’audit/valutazione e preparazione del rapporto dell’audit/valutazione

1- Tutte le evidenze e le prove oggettive richieste dagli auditor al personale verificato durante gli audit/valutazioni, devono essere acquisite in modo completo.

2- Il Lead auditor esegue questa sezione in modalità off-line, però il rappresentante della direzione dell’organizzazione deve essere continuamente a disposizione per rispondere a qualsiasi domanda o chiarimenti, se necessario, tramite la chiamata audio o la videochiamata.

• Seduta di chiusura
1- Tenere la riunione in videoconferenza con la presenza dell’alta dirigenza dell’organizzazione ed i responsabili oggetti dell’audit.

2- In questa sezione l’intervento è eseguito soltanto dal Lead auditor, e se il rappresentante dell’organizzazione certificata/da certificare abbia bisogno dei chiarimenti o ripetizioni circa i risultati dell’audit/valutazione, il Lead auditor è tenuto a fornire delle spiegazioni sufficienti.

3- La grandezza dello schermo o il monitor utilizzato per videoconferenza deve essere abbastanza in modo tale che tutti i presenti nella seduta possano vedere bene il video del Lead auditor, inoltre devono essere installati degli altoparlanti da poter sentire chiaramente la voce del Lead auditor.

4- Il file video della lista delle presenze nelle sedute dell’apertura e della chiusura dell’audit, va spedito prima di finire la seduta di chiusura e di scollegare la chiamata, da parte del rappresentante dell’organizzazione al Lead auditor.

• Relazione degli audit/valutazioni eseguiti da remoto tramite l’ICT

I file salvati delle evidenze e le prove oggettive dell’audit/valutazione, vanno riservati e mantenuti nelle cartelle distinte in base al no. della clausola dello standard relativo ed inoltre al tipo del dispositivo dell’ICT utilizzato, nella rete informatica interna di NOBEL.
Il grado di efficienza degli audit/valutazioni eseguiti da remoto deve essere riportato dal Lead auditor, nella sezione finale del rapporto.

Richiedi un’offerta con NOBEL Certification Italia

Scopri l’iter per la certificazione ISO 9001, con vantaggi e opportunità