La formazione degli imperi del passato, tra i quali quello persiano, quello giapponese e quello romano risale a un periodo compreso tra i duemila e i tremila anni fa. Questi sistemi di governo, distanti tra loro geograficamente e culturalmente, tuttavia condividevano il bisogno di trovare strumenti e modalità adeguati per tenere sotto controllo quanto accadeva all’interno dei confini. Per rispondere a questa necessità, in tempi e modi differenti a seconda del contesto, sono nate e si sono diffuse figure di controllo, ovvero emissari di fiducia degli imperatori il cui compito era di viaggiare sino alle località più remote dell’impero per verificare che ovunque venissero rispettate le leggi in materia di amministrazione, riscossione dei tributi, sorveglianza sui confini e, soprattutto fedeltà al regnante.
A distanza di tremila anni questo bisogno di supervisione e controllo continua a vivere non più nei contesti imperiali, bensì in quelli aziendali e d’impresa.
Oggi le imprese, indipendentemente dalle dimensioni e dal settore di operatività, hanno il bisogno di verificare e di assicurare l’adeguatezza dei processi di produzione/servizio e dei flussi di lavoro, affinché l’intera organizzazione aziendale sia efficiente e in compliance con la normativa applicabile.
Il ruolo di verifica, controllo e valutazione è svolto dall’auditor, professionalità impostasi negli anni Novanta del secolo scorso e affermatasi definitivamente negli anni Duemila.
Attualmente, i compiti e le competenze dell’auditor sono ben indicati negli standard volontari, validi a livello mondiale: UNI EN ISO 19011:2018 “Linee guida per gli audit dei sistemi di gestione” e in parte nella Norma ISO/IEC 17021:2011 (rif.to cap. 9 e Appendici A, D, E, F) e nelle parti correlate da 1 a 10 “requisiti di competenza“.
La prima è trasversale e fornisce le tecniche e metodologie di base per condurre gli audit in maniera indipendente ed efficace ed è presa, oggi, come riferimento per gli audit di prima e seconda parte (interni) ai sistemi di gestione aziendali.
La seconda integra i requisiti di conoscenze specifiche per gli auditor che operano per conto di organismi di certificazione di terza parte nei vari schemi (qualità, ambiente, safety, IT,…).
Come suggerisce l’etimologia (dal latino audire, ascoltare), l’auditor si “mette in ascolto” esaminando dinamiche e processi interni all’azienda, per valutare adeguatezza, rispetto delle normative, punti di forza ed eventuali criticità.
Per le imprese (organizzazioni in senso più ampio) richiedere un audit di conformità del proprio sistema di gestione ad una terza parte accreditata diviene un passaggio importante.
Non solo perché si tratta di un’occasione per una verifica approfondita dei processi, ma perché è il momento clou in cui l’azienda dimostra (o meno) alla collettività di essere in grado di adempiere alle normative e di avere un forte “autocontrollo” della propria attività.
La certificazione conseguita, ad esempio secondo ISO 9001, ISO 14001 etc, rappresenta in molti contesti un plus di competitività e distinzione nel mercato di riferimento.
Nel nostro Paese gli audit (interni ed esterni) e le certificazioni di conformità sono ormai consolidati. A dimostrarlo sono i numeri. Infatti prendendo in esame solamente alcune tipologie di certificazioni si evidenzia che:
a. siamo la prima nazione europea per numero di certificazioni UNI EN ISO 14001(riguardante i sistemi di gestione ambientale), con un totale di 10.930 aziende certificate e 22.483 siti certificati (fonte Accredia)
b. abbiamo raggiunto la seconda posizione nel mondo per numero di certificati ISO 9001 e ISO 14001 (fonte ISO Survey)
L’audit è quindi uno strumento riconosciuto fondamentale su cui basare decisioni strategiche e come tale implica la necessità di affidarsi a professionisti competenti e deontologicamente corretti.
Ma come sceglierli? A venire in aiuto delle imprese c’è, anche in questo caso, una certificazione a carattere internazionale e volontaria che ha un ruolo di doppia tutela verso di esse. Infatti da un lato sono certe di aver incaricato la persona giusta per farsi valutare, e dall’altro, in caso di controversie, saranno sollevate da possibili ripercussioni legali (potendo dimostrare di aver individuato correttamente il professionista). Ricorrere a un professionista certificato da un Organismo del personale accreditato secondo la Norma ISO/IEC 17024 rappresenta indubbiamente maggiori tutele, indipendentemente dal tipo di audit svolto.
Gli auditor effettuano in generale tre tipi di audit, a seconda dell’incarico ricevuto dal committente:
1. audit di prima parte, quando l’auditor procede con l’analisi (indipendente) del sistema di gestione dell’azienda in cui opera
2. di seconda parte, nel caso in cui si chiede all’auditor di valutare i fornitori di beni e servizi
3. di terza parte, se l’auditor è esterno all’azienda e opera per conto di un organismo di certificazione di sistema di gestione.
In ogni caso, l’auditor dovrà dare evidenza di conoscere e saper gestire, nei tempi stabiliti, tutte le tipologie di audt e attività correlate, quali:
• gestione del piano di audit
• audit di conformità
• audit di contesto e audit su rischi e opportunità
• audit della leadership e impegno a tutti i livelli organizzativi
• audit sul ciclo di vita
• audit sulla catena di fornitura
• audit di processo
• audit virtuali
• applicazione di un approccio basato sul rischio nel processo di audit
• utilizzo di criteri di campionamento delle evidenze del Sistema di gestione
Gli audit interni sono fondamentali per le grandi imprese, soprattutto per quelle con impronta internazionale, per le quali la logica dell’auto-valutazione è buona prassi e che investono molto nella formazione e nel training dei propri auditor.
Anche le piccole e medie imprese sono coinvolte in questo processo virtuoso con una leggera preferenza nel richiedere audit di terza parte per ottimizzare i costi e rendersi subito visibili rispetto alla concorrenza.
In entrambi i casi gli auditor, i professionisti incaricati, devono svolgere l’attività secondo le linee guida che impongono:
a. che l’esame documentale e sul campo vengano condotti in un clima di fiducia. Il che significa che l’audit dovrà essere annunciato e concordato, senza che vi siano l’effetto sorpresa o volontà inquisitoria
b. che l’audit si svolga in un tempo predefinito, da uno o più auditor (a seconda della numerosità dei requisiti da esaminare e delle dimensioni dell’impresa), elementi entrambi stabiliti all’interno di classificazioni internazionali dette “Man-Day ”.
Nel contempo l’auditor, come dalla Linea Guida ISO 19011, dovrà dimostrare d’essere:
1. rispettoso dei principi etici
2. di mentalità aperta e dall’approccio diplomatico
3. dotato di spirito di osservazione, perspicace e versatile
4. perseverante e concentrato nel raggiungimento degli obiettivi
5. capace di giungere rapidamente a conclusioni basate sull’analisi e su ragionamenti logici
6. sicuro di sé e risoluto.
A queste soft skills si aggiungono poi le necessarie competenze tecniche del business aziendale auditato e la profonda conoscenza della normativa, cogente e volontaria, di riferimento.
La garanzia ulteriore offerta da un auditor certificato è data dal fatto che è tenuto a rinnovare la propria certificazione ogni 5 anni, fornendo evidenza di continuità professionale, aggiornamento professionale continuo, assenza di reclami non gestiti e soprattutto rispetto dell’etica professionale sottoscritta.