Stato dell’Arte e Prospettive La Norma ISO/IEC...
Transcript of Stato dell’Arte e Prospettive La Norma ISO/IEC...
Relatore: Riccardo Bianconi esperto AiFOS
Convegno di studio e approfondimento
Stato dell’Arte e Prospettive La Norma ISO/IEC 17021-1:2015
Milano, 4 novembre 2015 dalle 14.30 alle 17.30
Perché essere interessati ad una Norma specifica e specialistica
come la ISO/IEC 17021-1:2015 ?
Beh, se si è Organismi di Certificazione, oppure se si è Enti di
Accreditamento…, ma anche…
17021-1 : 2015
Perché essere interessati ad una Norma specifica e specialistica
come la ISO/IEC 17021-1:2015 ?
Beh, se si è Organismi di Certificazione, oppure se si è Enti di
Accreditamento…, ma anche…
SE SI VIVE NEL NOSTRO MERCATO OVE L’ACCREDITAMENTO È
DIVENTATO, PER VOLONTÀ POLITICA E SU BASE GIURIDICA UNO
STRUMENTO FONDAMENTALE DI CONTROLLO DEL MERCATO: SI
PENSI ALLA SALUTE ALIMENTARE, ALLA SICUREZZA NELLE DIVERSE
DECLINAZIONI: LAVORO, AMBIENTE, PRODOTTO… PUÒ BASTARE?
17021-1 : 2015
Perché 17021-1? E non più 17021 semplicemente?
Già dal 2012 è in corso la pubblicazione di una serie di addendum
alla Norma, specifiche per esigenze particolari di competenza:
17021 – 2: per lo schema SGA
17021 – 3: per lo schema SGQ
17021 – 4: per lo schema “sostenibilità eventi” SMRAAE (ISO 20121)
“SM Responsable” Appliqué à Activitée Événementielle
17021 – 5: per la gestione degli “asset” (ISO 55001)
17021 – 6: per la gestione della “continuità operativa” (ISO/IEC 22301)
17021 – 7: per la gestione della “sicurezza stradale” (ISO 39001)
17021-1 : 2015
Perché 17021-1? E non più 17021 semplicemente?
Già dal 2012 è in corso la pubblicazione di una serie di addendum
alla Norma, specifiche per esigenze particolari di competenza:
17021 – 2: per lo schema SGA
17021 – 3: per lo schema SGQ
17021 – 4: per lo schema “sostenibilità eventi” SMRAAE (ISO 20121)
17021 – 5: per la gestione degli “asset” (ISO 55001)
17021 – 6: per la gestione della “continuità operativa” (ISO/IEC 22301)
17021 – 7: per la gestione della “sicurezza stradale” (ISO 39001)
17021-1 : 2015
La Norma ISO/IEC 17021-1 2015 è l’evoluzione naturale della stessa
Norma del 2011. Tale versione ha recepito numerose istanze di
modifica, di chiarimento e semplificazione, derivanti dal mondo
della certificazione.
Dalla data di pubblicazione della Norma in versione 2015 è iniziato
un transitorio biennale, che già dal 15 Luglio 2016 vedrà come
unico riferimento normativo per l’accreditamento proprio la ISO/
IEC 17021-1:2015.
17021-1 : 2015
La nuova revisione mette in evidenza il concetto di imparzialità e
di assenza di conflitti di interessi, in linea con la precedente
versione.
Da un lato si cerca di chiarire meglio cosa si debba intendere per
“consulenza”, argomento già trattato con diversi interventi, fatti in
ordine sparso negli anni precedenti.
Per esempio si deve considerare consulenza:
• Produrre documentazione di sistema per un’organizzazione
(manuali, procedure, analisi dei processi, valutazione dei rischi
e ogni altro documento operativo).
• Fornire specifici consigli, istruzioni o soluzioni per lo sviluppo e
attuazione del sistema di gestione.
17021-1 : 2015
La formazione è da considerare consulenza? Lascio a voi valutare, partendo dalle seguenti indicazioni…
17021-1 : 2015
La formazione è da considerare consulenza?
Organizzare corsi, fornire docenze non è da considerare
consulenza, sempre che “ove tali corsi si riferiscano ai sistema di
gestione o alle attività di audit” ci si limiti a fornire informazioni di
carattere generale, senza fornire consigli o soluzioni specifiche.
Il training non è da considerare consulenza, ma va considerata
come una minaccia all’imparzialità…
17021-1 : 2015
Fornire informazioni generali, ma non soluzioni specifiche per il cliente per il miglioramento dei processi o dei sistemi, non è considerata come consulenza. Tali informazioni possono comprendere: • spiegare il significato e le finalità di criteri di certificazione;
• identificare opportunità di miglioramento;
• spiegare teorie, metodologie, tecniche e strumenti correlati;
• condividere informazioni non riservate sulle relative migliori prassi;
• altri aspetti gestionali che non sono coperti dal sistema di gestione
sottoposto ad audit.
17021-1 : 2015
Nel caso di conflitti di interessi riconosciuti, come aver eseguito degli
audit interni per un’organizzazione o aver prestato servizi di consulenza,
quello che era un suggerimento nella versione del 2011 della
Norma, diviene requisito: per almeno due anni non si deve
certificare.
17021-1 : 2015
Ai sei principi enunciati nella 17021:2011: • Imparzialità, • Competenza, • Responsabilità, • Trasparenza, • Riservatezza, • Risposta ai reclami
Si unisce un nuovo principio: • L’approccio basato sui rischi,
ma “adelante Pedro…”
17021-1 : 2015
Per quanto questi rischi siano: • gli obiettivi dell’audit; • il campionamento utilizzato nel processo di audit; • l’imparzialità reale e percepita; • le questioni relative a responsabilita giuridica e di natura
cogente; • l’organizzazione cliente sottoposta ad audit e il suo ambiente
operativo; • l’impatto dell’audit sul cliente e le sue attivita ; • salute e sicurezza dei gruppi di audit; • percezione delle parti interessate; • dichiarazioni fuorvianti da parte del cliente certificato; • utilizzo di marchi. La logica è di prendere in considerazione i rischi che possono impattare sull’imparzialità e la capacità di fornire servizi conformi e basati sulla competenza.
17021-1 : 2015
Non c’è più l’obbligo di costituire un Comitato di Salvaguardia per l’Imparzialità, ma quello di identificare delle “appropriate” Parti Interessate da consultare, anche con modalità disgiunte. A mio personale giudizio, basato anche sull’esperienza, si perde un’opportunità, che il mercato delle certificazioni non ha mai gradito e desiderato di avere… ! L’esistenza di un CSI viene vista come una possibile risposta alla esigenza sopra indicata. Le informazioni e valutazioni delle Parti Interessate dovranno essere “riportate” nel riesame della direzione… Comunque, questo approccio era già emerso con la Norma ISO/IEC 17065 e non è un fulmine a ciel sereno.
17021-1 : 2015
La Norma specifica che l’Organismo di Certificazione deve essere
considerato responsabile delle proprie decisioni in merito alle
decisioni prese.
Una banalità?
17021-1 : 2015
La Norma specifica che l’Organismo di Certificazione deve essere
considerato responsabile delle proprie decisioni in merito alle
decisioni prese.
Una banalità? Non proprio !!
L’accreditamento è un atto pubblico, così come l’atto di
certificare, con i possibili risvolti di carattere penale, ove si
configurino fattispecie riconducibili ai delitti di “falso ideologico” e
“concorso in truffa”, con tutte le possibili caratterizzazioni e
aggravanti.
A questo proposito vi sono delle illuminanti posizioni sia della
Corte dei Conti, sia del Consiglio di Stato.
17021-1 : 2015
Quindi, la valutazione sulla capacità di operare in una specifica
“area tecnica”, di poter assumere delle decisioni in tale area e in
uno specifico schema, risultano essere rilevanti dal punto di vista
giuridico e non più un aspetto negoziale tra privati.
Chi delibera deve essere membro dell’organizzazione
dell’Organismo di Certificazione o vincolato da accordi
contrattuali legalmente validi con lo stesso Organismo di
Certificazione o con un’organizzazione da questo controllata
giuridicamente.
17021-1 : 2015
La Norma ribadisce l’esigenza che gli Organismi di Certificazione abbiano dei processi per definire, verificare e monitorare le competenze degli auditor. I requisiti, schema per schema, come abbiamo visto prima, sono già mappati per quasi tutti gli schemi di certificazione. La Norma chiarisce che le cosiddette “aree tecniche” possono coincidere con i settori IAF, salvo eccezioni individuate da schemi specifici.
Ad ogni ruolo deve corrispondere la relativa competenza: cioè la
capacità di raggiungere specifici obiettivi con l’uso delle
conoscenze e delle abilità professionali. ( § 7.2.3. e All. A della
Norma )
17021-1 : 2015
Il monitoraggio degli Auditor deve avvenire sia sulla base delle
registrazioni di audit, sia della valutazione (non più della sola
osservazione) diretta delle attività in campo e deve essere
commisurato e correlato alla complessità e specificità di ogni
schema e delle aree tecniche nelle quali opera un Auditor.
La Norma richiede che l’Organismo di Certificazione utilizzi tutte le
informazioni disponibili per definire la frequenza dei monitoraggi.
In definitiva si tratta di un approccio “risk based” non dichiarato,
ma evidente.
17021-1 : 2015
La Norma fa chiarezza su diverse aree di dubbio per i periodi di validità dei certificati, in fase di emissione (primo ciclo triennale inizia con la data di delibera), i successivi con le date di rinnovo. Il programma di audit triennale deve tenere conto del campo di applicazione, della complessità, della criticità e della tipologia di prodotti e processi, nonché delle risultanze degli audit precedenti. Gli audit di sorveglianza debbono essere condotti almeno una volta ogni anno solare. Il primo audit di sorveglianza non può eccedere i 12 mesi dalla delibera.
17021-1 : 2015
Per la determinazione del tempo complessivo di audit, l’OdC deve considerare, tra le altre cose, i seguenti aspetti: – i requisiti della norma di sistema di gestione pertinente; – la complessita del cliente e del suo sistema di gestione; – il contesto tecnologico e cogente; – ogni eventuale affidamento all’esterno di attivita comprese nel campo di applicazione del sistema di gestione; – i risultati di ogni eventuale audit precedente; – la dimensione e il numero dei siti, la loro posizione geografica e le considerazioni circa siti multipli; – i rischi associati ai prodotti, processi o attivita dell’organizzazione; – se gli audit sono combinati, congiunti o integrati. I tempi legati alla logistica non fanno parte del tempo di audit. Quanto dura un giorno di lavoro per un Auditor???
17021-1 : 2015