NORMA Linee guida per audit di sistemi di gestione UNIEN ISO EUROPEA 19011 LUGLIO 2018 Version tan eltgto 2018 Guidelines for auditing management systems fornisce una guida sulfaudit di sistemi di gestione, ‘compres! i principi deattivita d audi, la gestione dei programm aucit ¢ la conduzione degl audit ai sistem di gestions, cosi come una guida per la valutazione delle competenze delle persone coinvolte nel processo di audit. Tali atta comprendono la Persona(e) che gestsce i programma di audit, gi auditor ed i gruppi di audit La noma & applicabile a qualsiasi organizzazione che abbia Tesigenza di pianticare e condutre audit interni o esterni gi sistem i gestione o di gestire un programma di audit E possibile tapplicazione della norma ad altri tpi di audit, a condizione che sia prestata particalare attenzione alle specifiche necessarie competenze. TESTO ITALIANO La presente norma é la versione ulticiale in lingua italiana della norma europea EN ISO 19011 (edizione luglio 2018). La presente norma sostituisce la UNI EN ISO 1901 ICS 03,120.20; 03,100.70 UN ENTE ITALIANO Dl NORMAZIONE oun Fiproduzione vets. Legge 22 aprile 1941 N 638 sucoessw aggornamet “ide sno riser. Nessa pared preserie dacumento pu esererpodota cats ‘con un mezzo quasi, ttocope, microti 0 ato Sera I conse srt UNL MEN 180 1e0r1 2018 PaginaPREMESSA NAZIONALE La presente norma costituisce il recepimento, in lingua italian della norma europea EN ISO 19011 (edizione luglio 2018), che ‘assume cosi lo status di norma nazionale italiana. La presente norma @ stata elaborata sotto la competenza della, Commissione Tecnica UNI Gestione per la qualita e metodi statistic! La presente norma @ stata ratifcata dal Presidente dell UNI ed entrata a far parte del corpo normativo nazionale i 10 luglio 2018. enorme UN! sono elaborate cereando dane conto dei punt vista tee part Intressate © 6 coniiare ogrisepotoconftual, per rappresenare Irate stato delarte dela materia edi necessaro grado di consenso. CChiunque réenese, a seguto del'applcazione oi quesla orm, dl poter frie sug- {geriment per un Eve mgloramante 0 per un suo adeguamento ad uno stato del arte in evolution @ pregat invari rep cortrbus alfUNI, Ene Nazionale Haan ot Uniicaione, che I train consideration pr levetule revisor dela norma stessa Le mere Unt sone event quando necessaro,crnlepubbicazone d nuove edn saqioranent E importante peter che gl uitazatri del stessesiaccertno lessee in possesso ‘be utina eizionee del evenualegoiorament Sivano nave gl uiizatn a verticar esisienza dnarme UNI corispondent alle nore EN ISO ve cate nei rerinent norati, LUNIEN 180 190112018 ouN PaginaEUROPEAN STANDARD EN ISO 19014 NORME EUROPEENNE EUROPAISCHE NORM July 2018 ICS 03,100.70; 03.120.20 ‘Supersedes EN ISO i901 2011 Englich version Guidelines for auditing management systems (ISO 19011:2018) Lignes directrices pour Fauait des systémes de Leitlzden zur Auctierung von Managementsystemen management ((SO 19011:2018) (SO 19011-2018) “This European Standard was approved by CEN on 18 June 2018. CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving ‘his Europeen Standard the status ofa national standard withoul any alleraion. Up-to-date fsts and bibliographical references ‘concerning such national standards may be oblained on application fo the CEN-CENELEC Management Centre otto any CEN member ‘This European Siandard ens in thre official versions (English, French, Garman), A version in any other language made by translation under the responsibiity of @ CEN member info ts own language and nated tothe CEN-CENELEC Management Contre has the same status as the offal versions. ‘CEN members are the national standards bodies of Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmatk. Estonia, Finland, Fotmer Yugostav Republic of Macedonia, France, Germany, Greece, Hungary, lceland, Ireland, lay, Latvia, LUthuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, ‘Switzerland, Turkey and United Kingdom. EUROPEAN COMMITTEE FOR STANDARDIZATION COMITE EUROPEEN DE NORMALISATION. EUROPAISCHES KOMITEE FUR NORMUNG CEN-CENELEC Management Centre: Rue dela Science 23, 8-1040 Brussels ©2018 CEN ‘All rights of exploitation in any form and by any means teserved worldwide Ret Na ENISO Wor TaOTeE {or CEN national Members. uw UNIEN ISO 190112018 Ou Pagrait52 53 84 sat 542 543 544 55 551 552 553 554 555, 556 557 56 87, 61 62 621 622 628 63 631 832 639 634 64 bat 642 643 bas 645 646 647 ape a INDICE PREMESSA 1 INTRODUZIONE Dieet tl at s 7 2 ‘SCOPO E CAMPO DI APPLICAZIONE FIFERIMENTI NORMATIVI a ‘TERMINI E DEFINZIONI : 3 PRINCIPI DELLATTIVITA DI AUDIT é GESTIONE 01 UN PROGRAMA Di AUDIT 6 General 7 8 Fuso proceso pera gsi un programa a Defrizione deol bie dl programma d aUtt...oa 10 Deterinazono ovation bce dle penta cl reared 10 Detrizione dol programma d audit... Fue esponsbit dela persona(e) che gesisei programma cau " CCorgetenca dela personal) che pectsce i programma dau, 12 Dotriione dolectersone del progranra 6 aud... 2 ‘Deermrazione delle rsose de programme dau... creas 18 ‘Atuazone del programma di auc ae 18 Generali sneer Dsirone cel cies, cargo appleazone cnr pun srg aust. 4 Selezonee dateminazion deimetod aut. 4 Seleene dei memnb del upc auc 5 snerawecseegorbtipev npbasiarepasit ign a 15 Gestion dei sul dl pogranma aut 7 CGesonee mantenimerto dele rgistazien el programe di audt Monitoraggio col programma di aud » Fiesame migloramento del programma aud ‘CONDUZIONE D1 UN AUDIT 8 General. — te on) ‘Avo delfaudt. ee nove 1B General 18 Frese conta con frprizzaioneoggeto de ut 19 Deterinaione dee aii eau 19 Proparazione dele ati aU na 19 ‘volgen del riesame dele rdomazor docu 18 Piarfeatone dB 8 sooner 2 ‘Aseognazione dollvor al uppe cial. a Preparaone dee nlomazeni documents pe aust 2 CConduzione dele atv deus a eneala.. as Serer -Assognaione dle responsbita a gue e osseraon. 2 ‘Cordurione deta runione ape i ‘Comuricazone dato faust... " 23 Disponit e acceso le itrmazion rate aud 2 Flesame ele infomazion doourerial drat a conduione delat By Recoatae veriea dal intrazion 24 Vain sinsome cnt rocoto razon eve ee nomaxon... 25 LUN‘ EW 180 190112018 OuN Pagina648 bao 6410 65 65 552 68 67 7 a) 72 ra 122 123 124 125 73 74 ‘wowpelo 78. 78 APPENDICE A (informative) iempeis AT Produzion dete suterze de aut Deteminaziore dol conclusion’ do aus. ae Conduzane dete fron 6 CSUR 7 Preparazione e cistbuzione del appari di aut, Preparazione dl apport & ai 7 Dstibwione dl rapport aut. z CChivsur deta... z CConduzione dle arin successive atau (olow-up)... COMPETENZA E VALUTAZIONE DEGLI AUDITOR Generali Determinazione della competence degll autor ee iz Comportameniopersrae, erescerze ait, 7 ‘Aquiszene dea corpetnza lair, oan ‘Acquisizene deta competenaa responsable 6 upped aud. Detinizione dei citer vaktazione del'audeor ‘Selezione del metodo appropiao di valutaione dellaudtor etodivalutaronedeaudtor. Conduzione dela vlutazione deteuctr... Mantonimento © migioramonte della competenza audi... RRSRBRBSBAR (GUIDA AGGIUNTIVA PER GLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT Met oi audit, BIBLIOGRAFIA UUNIEN 180 19011:2018 oun PopnavUMLEN 160 190172018 UN PaginaPREMESSA Il presente documento (EN ISO 19011:2018) @ stato elaborato dal Comitato Tecnico ISOIPC 302 "Guidelines for auditing management systems’, in collaborazione con il CoM. Alla presente norma europea deve essere attribuito Io status di norma nazionale, 0 ‘mediante pubblicazione di un testo identico o mediante notifica di adozione, al piu tardi centro gennaio 2019, e le norme nazionali in contrasto devono essere ritrate al pid tardi centro gennaio 2019, ‘Si richiama Fattenzione alla possibilita che alcuni degli elementi del presente documento ossano essere oggetto di brevet II CEN (e/o il CENELEC) non deve(devono) essere ritenutoli) responsabile(i) di avere citato tall brevet II presente documento sostituisce la EN ISO 19011:2011 presente documento @ stato elaborato nel'ambito di un mandato conterito al CEN dalla Commissione Europea e dalf Associazione Europea di Libero Scambio. In conformita alle Regole Comuni CEN/CENELEG, gli enti nazionali di normazione dei Seguenti Paesi sono tenuti a recepire la presente norma europea: Austria, Belg, Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Inlanda, Istanda, italia, Lettonia, Lituania, Lussemburgo, Malta, Norvegia, Paesi Bass, Polonia, Portogallo, Regno Unito, Repubblica Geca, Repubblica Ex Jugostava Macedonia, Romania, Serbia, Slovacchia, Slovenia, Spagna, Svezia, Svizzera, Turchie e Unghera, NOTIFICA DI ADOZIONE lItesto della [SO 18011:2018 é stato approvato dal CEN come EN ISO 19011:2018 senza alcuna modifica UMIEN 80 ssc112018 ‘oun Pagetircpato INTRODUZIONE alla pubbicazione nel 2011 della seconda euizione del presente documento, sono state pubbiicale un certo numero di nuove norme di sistemi di gestione, molte delle quali presentano una strutura comune, identici requisitl fondamental, termini comuni © efinizioni fondemental, Ne consegue Tesigenza di prendere in considerazione un ‘approceio pit esteso per audit dl sistemi di gestione, cosi come di fornire una guida pi ‘generale. | risultati delfaudit possono torrie input ad aspett inerenti Tenalisi della pianficazione olle aivta (business planning) © possono contribuire allidentiicazione d esigenze & atv di miglioramento. Un audit pud essere condotto, separatamente o in modo combinato, a fronte di una variet® di riter di aust, compresiin termini non esaustiv: = | requsiti defini in una o pit: norme di sistemi di gestione; =e poltche ed i requis speciictida part interessate rilevant = requis legislativie regolamentar; = une 0 pit process! del sistema di gosione defini datforganizzazione o at par = i) piano( del sistema di gestione relativo() alla forntura oi specifck output a un sistema di gestione (per esempio, plano della qualita, piano ai un progetto} I presente documento fornisce una guida per organizzazion\ ol tut tipi e dimensione e per aucit aventi campi di applicazione ed estensione variabil, compresi quel condott da ‘tuppi di audit 6) ampia dimensions, tipcamente neltambito di organizzazioni di grandi ddimensioni, ¢ quell condot de singol auditor, sia in grandi sia in piccole organizzazioni La presente guida dovrebbe essere adattata, per quanto appropriato, al campo di applicazione, complessita ed estensione del programma di audi 1 presente documento é focalizato sugli audit inter (audit di prima parte) e eugk audit condoti da organizzazioni su propri foritor esterni e altre parti interessate (audit d seconda parte). Il presente documento pu anche essere utle per audit esterni condott per falta civerse calla certicazione i terza parte di sistemi di gestione. La ISOMEC 170241 fornisce requis per ait di sister di gestione per la certicazione di terza parte: Il presente documento pud comungue fornire uniuteriore quida (vedere prospetto 1). Diterent tiie uct ‘vst prima parte nt second parte Audi ora pare [Raat iene [Ra aero esers ai i cortiatione oo & aoreatanen [Ai dave par ieressne ete | Ande per fr legslati,egolanantare similar] Per semplificare la leggibilté del presente documento, @ stata preterita la forma singolare 4 “sistema di gestione", ma il letiore pud adattare lattuazione della guida alla propria situazione specifica. Cid si applica anche allutlizzo dei termini “persona" rispetto a "persone" e “auditor” rispetto ad “auditors”. Il presente documento & destinato alfapplicazione da parte di una vasta gamma di potenziall utllzzatori, compresi gli auditor, le organizzazioni che attuano sistomi di ‘gestione e le organizzazioni che hanno esigenza di condurre audit di sistemi di gestione per ragioni contrattualio legali. Gi utlizzatori del presente documento possono, tuttavia, ‘applicare la presente guide nello sviluppo dei requisitirelativi ai propri audit La guida fornita nel presente documento pud essere utllzzata anche a fini di ‘auto-dichiarazione e pud essere utile per le organizzazioni coinvolte nella formazione degli aucitor o nella cerificazione delle persone. Tid natorae- Leepresione “wequsilloplatve egelamerta’ a tacuzone dat espressne inglse‘statoy (and regulon requrement',n docordo ale delrakel cu ai punt $66 © 36,7 dala UNI EN ISO 9000 2015 ‘stereo gostone por la qual = Fordemert vocaolaro” In vane norme di sisomi dgesone(comprese a LUNIEN ISO 80012015 “Ssemi cl gectane por squall - Regquis) e siata utzztaFespessone equ cogent” hed considers oqualente LUNTENISO 19013-2018, ‘OuN Pagina 2oa Noa? La quida fornita nel presente documento @ predisposta per essere flessibile, Come indicato nei vari punti del testo, 'utlizzo della presente guida pud variare in funzione delle dimension € del livello ci maturita del sistema di gestione di un'organizzazione. Dovrebbero inoltre essere considerate la natura ¢ la complessita dell'organizzazione da sottoporre ad audit, cosi come gli obiettivi e il campo di applicazione degli audit da ‘condurre. presente documento adotta approccio del'audit combinato, quando due o pid sistem di gestione di diverse discipline sono sottoposti ad audit contemporaneamente, Nel caso in cui questi sistemi siano integratl in un unico sistema ci gestione, | principi ed i processi dell audit sono gli stessi di quell di un audit combinato (talvolta noto come audit integrato) II presente documento fornisce una guida sulla gestione di un programma di audit, sulla Pianificazione @ sulla conduzione di audit oi sistemi di gestione, cost come sulla Ccompetenza e sulla valutazione di un auditor e di un gruppo di audit, SCOPO E CAMPO DI APPLICAZIONE |i presente documento fornisce una guida sull’audit di sistem di gestione, compresi i principi del'ativité di audi, la gestione dei programmi di auuit e la conduzione degli audit i sistemi di gestione, cosi come una guida per la valutazione delle competenze delle Persone coinvolte nel processo di audit. Tali avila comprendono la persona(e) che ‘gestisce il programma di audit, gli auditor ed i gruppi di audit, lI presente documento @ applicabile & qualsiasi organizzazione che abbia lesigenza di Pianificare © condurre audit intemi o estemni ci sistemi di gestione 0 di gestire un programma di ausit. E possibile 'applicazione del presente documento ad altri tipi di audit, a condizione che Sia prestata particolare attenzione alle specifiche necessarie competenze, RIFERIMENT! NORMATIVI Nel presente documento non sono presenti ferimenti normativ TERMINI E DEFINIZIONI A fini del presente documento, si applicano i sequent termini e definizioni Per Futlizzo in ambito normativo ISO e IEC dispongeno di banche dati terminologiche ai seguenti indirizz: + 180 Online browsing platform: disponibile allindirizzo http iwwwise.org/obp + IEC Electropedia: disponibile alfindiri2zo http/Awww.electropedia.ora/ Audit [audit]: Processo sistematico, indipendente © documentato per ottenere evidenze ‘oggettive (3.8) e valutarle con obiettvita, al fine di determinare in quale misura i criteri ‘det audit (3.7) sono soddistatt Gt uate, tote denominat uct pie pate, sono condci da organzzazonesiessa, per suo conto Gi auc ester comprerdono gt aut generamentedanominat cl secondae tera parte. laud seconde Pare soro condot dapat che hanno un interessenel'organizzazione, qua Gono da are peso per coo depart esse. Gi auc ez prt sone condat da erganizzazonncpendent che olga ati aus, ‘come quele che foriscono cerifcazionereistazione conform o agerie goverative, [FONTE: ISO 9000:2015, punto 3.13.1, modificato - Le note sono stale madifcate] LUNTEN 180 1e011-2018 ew Paginas32 ‘audit combinato [combined audit}: Audit (3.1) eseguito contemporaneamente presso Uununica organizzazione oggetto delfauait (3.13) su due o pit sistemy di gestione (3.18). ‘Quando due o pid sistem ot gestone specific (6 une dscpina) sono integra in un unico sistema gestone,qusio& noto come sistema ci gstone integrata, {FONTE: ISO 9000:2015, punto 3.13.2, modifcalo} audit congiunto {joint audit: Auct (3.1) eseguito presso un'unica organizzazione oggetto dell audi (3.13) da due o pli organizzazioni che svolgono attivita di audit [FONTE: ISO 9000:2018, punto 3.13.3] programma di audit [audit programe): Disposizion’ per un insieme dl uno o pit avait (3.1) Pianfiati per un arco oi tempo definite orientati verso une scope specific. [FONTE: ISO 9000:2015, punto 3.13.4, modiicato - sono state aggiunte delle espressioni alla definizione] ‘campo di applicazione del'audit audit scope): Estensione elimi di un aul (3.1). 1 campo di applicazione delfauait generalmente comprende una descrzione dei si fis e vituat, dello. funzion, delle una orgarizzatve, del ative de process, csi come il periodo di emp preso in esere, Un sito virtuale @ dove urorganizzazine eseque un lavoro o eroga un serviio tiizzando un ambiente ‘onsne,permestendo alle persone dl eseguie del processlindipendentemente dailuoghi fs in cus rovano. [FONTE: ISO 9000:2018, punto 3.13.5, modificato - La nota 1 & stata modficata, la nota 22 stata aggiuntal plano dell'audit (audit plan}: Descrizione delle ativita e delle disposizioni riguardanti un audit (3.1) IFONTE: ISO 9000:2018, punto 3.13.6] criteri del'audit [audit criteria: Insieme di requisit (9.29) utiizzati come riferimento, ‘ispetto ai quali si confrontano le evidenze oggettive (3.8). ‘Se citer dell ua sono requis legal compres quelilegsiatvoregclarentar, nelle rsutanze aut {@.10) vengono spesso utlizzet i trmini “conformita legale" (comjalance) o "non confit legate” (non-compliance) | requis possono comprendore poltiche, procedure, ituzion i lavore,reaust legal, obbichi contre ee, [FONTE: 180 9000:2018, punto 3.18.7, modificata - la definizione @ stata modificata € sono state aggiunte le note t e 2] Jenza oggettiva [objective evidence} Dati che supportano I'esistenza o la veridicita di qualcosa. videnza oggetive pu essere oterutamedante osservazion, misuraion, prove oat mezz. Levidenza oggetiva ait del auc) consiste generalmenteinregisrazon,cchiarazioni ditt 0 are inlrmazioni che sono perinentiaicrfer efTavel 2.7) vertical IFONTE: ISO 9000:2015, punto 3.6.3), evidenze dell'auait [audit evidence]: Regjstrazioni, dichiarazioni di fatto altre informazioni che sono pertinent! ai criter det/aucit (3.7) e vertical. [FONTE: ISO 9000:2018, punto 3.13.8} ita nazi ~Leepesere “eter di gerne spoctco (6 ua cscpina & ls tadine dellesprsson ese "sane pace management ston, cao aie 6 lessee var ston & gotone come per esamo esto dt istne pe quits stra 6 gesione erbiel, Sse gesoneperla sale e sever ulnar ee oat 33 34 35 sa owe? 36 a7 te? 38 Nat Noe 39 See 7 wi ‘UNI EN ISO 19011-2018 ‘oun Pagina3.10 3a 342 343 344 318, 316 347 318 Not tee ese hae ie Nisa Now Now twas risultanze dell’audit (audit findings): Risultati della valutazione delle evidenze delauclt (89) raccolte tispetto al erteri delaudit (3.7) Le rsuttanze cel'audtincicano conformita (3.20) o non contrmit (8.2). Le risutanze del eu possono portare a idetiicare rischi, opportuni di migloramento o a dacumentare bone prass In inglese, se i citer det'auct sono seleiona da requis eget o rogolamenta, le risultanze delauct ‘sono denominate corformit legal (compliance | ononconfommita legal (nar-campliance) [FONTE: 1SO 9000:2015, punto 3.13.9, modificato - Le note 2 € 3 sono state modificate] Conclusioni del'audit [audit conclusion} Esito oi un audi (3.1) dopo aver preso in esame gl obiettvi del'audt e tute le risutanze del audit (3.10). [FONTE: 1SO 9000:2018, punto 3.13.10] ‘committente delTaudit fauxit cien!): Organizzazione o persona che richiede un aul (3.1). ‘in caso ol aud interno, commitento dlauct pud essere anche loranizzazione oggeto del aud.) (la persona(e) che gestsce il programma ct aud. Le richieste di audit esternl possono praverire da alte font come autor in ambitoleglsatvo, pai conratual, cont o potenaial cent [FONTE: ISO 9000:2015, punto 3.13.13, modiicato- E stata aggiunt la nota 1] organizzazione oggetto dell'audit [aucitee!: Organizzazione sottoposta ad audit nel suo insieme o in una delle sue part, [FONTE: 180 9000:2015, punto 3.13.12, modificato] ‘gruppo ai audit [audit team}: Una o pid persone che conducono un audit (3.1), supportat, se necessario, da espert tecrici (3.16). Un auctor'3.15} del gruppo of au (3.14)& nominatoresponsabie del gruppo stesso. {gruppo oi act pud comprendere auctor in formazione IFONTE: ISO 9000:2018, punto 3.13.14] auditor [auditor Persona che conduce un audit (3.1) [FONTE: 180 90002015, punto 3.13.15} ‘esperto tecnico [technical expert: Persone che fornisce conoscenze o esperienza ‘speciiche al gruppo di aucit (3.14). Le conoscenze o espertenza spectiche sono ier al orgarizzazione, alfa, al processo, al predot, a servizi, alla discipina da sotopore ad audit, o ala Ingue o alla cute Un espero tenico non agisce come un aur (9.18) nelfambto del gruppo cau (2.14). [FONTE: 180 £000:2015, punto 3.13.16, modiicato - Le note 1 € 2 sono state modicate] osservatore [observer|: Persona che accompagna il gruppo af aud (3.14) ma non agisce come un auctor (3.18). [FONTE: 180 200.2015, punto 3.13.17, moditicato] sistema di gestione (management system: Insieme di elementi correlati o interagenti oi Uun’organizzazione fnalizzato a stabiire poltiche, obiettvi e process! (3.24) per conseguire tall obiettiv. Un sistema ai gestone pu riers! a uns 0 pid dsciptne, per esempio gestione per la quai, gesione ‘economico-inanziaria 0 gestione embiontle Gi element cel sistema di gestione stabiiscono la sinatra, iru le responsailt, la pianiicazione, i {unzionamenio le poche e pass, le regle le convnzion, gl cbietv edi process de rganizazione per conseguie tal obletiv, 1 campo ot appicazione ai un sistema di gestione pud comprendere Tiniera organiezazine, funzcni speotiche e doniicatodelforganizzazione, eto specticl e deatfcatidelfoiganizeazione, oppure ura o pid funzion nelTambto dun gruppo di orgaizzezion [FONTE: ISO 9000:2015, punto 3.5.3, modificato - La nota 4 & stata eliminata] LUNIEN 180 19011-2018 ow Paginas3.19 rischio [rsk} Etfotto delincertezza. tour Un elfeto@ uno scastamento da quarto ates - postive o negate ia? Licertezza én stato, anche parle, di carenza diinformazion relative ala comprensione o conascenza di un evento, dele sue conseguenze o doa Sua proba 1oia3 Ist & spesso cartierzzato dal rerimento a potenia event (come detnto nla Guida ISO 78:208, punio 35.13) e consequence (come defnto nela Guida 180 732008, punto 2.6.1.9) 0 ad une loo combinazione. twiee rishi &equentemente espresso in termi & combinaione dele consequenze dn evento (compres ‘cambiament nelle cirostanze)e della probit (come definto neta Guida ISO 73:2008, punto 36.1.1) associate a uo vercars [FONTE: 1S0 9000:2015, punto 3.7.9, modificato- Le note 5 € 6 sono state eliminate] 3.20 cconformita [conformity]: Soddistacimento di un requisito (3.29). IFONTE: ISO 9000:2015, punto 3.6.11, modificato- La nota 1 € stata eliminate] 3.21 ‘non contormita nonconformity): Mancato soddisfacimento di un requisio (3.23) [FONTE: ISO 9000:2015, punto 8.6.9, modificato - La nota 1 & stata eliminata} 3.22 competenza [competence]: Capacita ai applicare conoscenze e abilta per conseguire | risultati ates [FONTE: ISO 2000:2015, punto 3.10.4, modificato- Le note sono state eliminate] 3.23 requisite (requirement): Esigenza o aspettativa che pud essere espilcita, generalmente implicta oppure obbligatoria, tia "Generaimente implicit signitce che € uso 0 prassi comune, per organizazione e pr le pat ineressate, ‘he fesigenza o aspera in same sie implica iva? Un requis specitato@ un requisite che & espltate, per esempio, in ifrmazioni documenta, [FONTE: 1S0 9000:2015, punto 3.6.4, mositicato - Le note 3, 4, € 6 sono state eliminate} 3.24 proceso [process}: Insieme di attivita correlate 0 interagentl che utlizzano input per consegnare un risultato atteso. [FONTE: ISO 9000:2018, punto 3.4.1, modificato- Le note sono state eliminate} 3.25 prestazion! (performance Risultat misurabi us Le prestazion’ poscono riguardare risutaze sia quantitative sie qualtaive ‘uaa2 Le presiazion possono riguardare la gestione di att, process (9.24), prodot, servizi, sistemi od orgenizzazeni [FONTE: ISO 9000:2015, punto 3.7.8, modifcato - La nota 3€ stata eliminata) 3.26 cfficacia[etectiveness]: Grado di realizzazione delle attiita pianificate e di conseguimento dei risultatipianitica [FONTE: ISO 90002015, punto 3.7.11, mocificato- La nota 1 @ stata eliminata] 4 PRINCIPI DELL’ATTIVITA Di AUDIT a attivita di audit & caratterizzata dal rispetto di una serie di principi. Questulimi dovrebbero contribuire a rendere Taucit uno strumento eficace @ atfidabile a sostegno delle poliiche e dei control della direzione, fornendo Informazioni in base alle quali Un’organizzazione pud agit al fine di migiorare le proprie prestazioni. Il rispetto dl questi principié un prerequisto per fornire conclusioni del'audit che siano pertinent e suffcienti fe per consentire agli auditor, che operano in modo indipendente gli uni dagii altri, di pervenire a conclusioni simil in cicostanze simil wl LUMTENI80 190112018 unt agraLa guida fornita nei punti da 6 a7 si basa sui sette principi di seguito deserit, a) ») ° 0) Integrita: il fondamento della professionalta Gili auditor e la persona(e) che gestisce un programma di audit dovrebbero: + svolgere il propric lavoro in modo etico, con onesta e responsability ~ _ intraprendere attvita di audit unicamente se competent; + eseguire i proprio lavoro in modo imparziale, ossia con equité e senza pregiudizi in tutte le propre relazioni; - tener conto di eventuall infiuenze che possano essere esercitate sul proprio {giudizio nellesecuzione di un auctt Presentazione imparziale: obbiigo di iterire in modo veritiero e accurato Le risultanze, le conclusioni ed i rapporti dell'aucit dovrebbero riflettere in modo vertiero e accurato le attivita di audit. Dovrabbero essere documentati gli ostacoli significativi incontrati durante 'aucit ele divergenze gi opinione irrisolte trail gruppo di audit e Forganizzazione oggetto del'audit. Le comunicazioni dovrebbero essere veritiere, accurate, obiettive, tempestive, chiare e complete. Dovuta professionalita: 'applicazione dl dligenza e gludizio nel corso delfativta di audit Gli_auditor dovrebbero_prestare un'adeguata _attenzione _coerentemente allmportanza del compito che svolgono e della fiducia riposta in loro da parte del committente dellaudit e dalle altre parti interessate. Un fattore importante nello svolgimento del proprio lavoro, con la dovuta professionali, @ avere la capacita di formulare giudizi ponderati in tute le situazioni di audit, Riservatezza: sicurezza delle informazioni Gii auditor dovrebbero agire con discrezione nel'utlizz0 © nella protezione delle Informazioni acquisite nel corso dei oro compit. Le informazioni relative all'aucit non dovrebbero essere utizzate impropriamente per vantaggi personali da parte delauditor © del committente delfaudit, 0 in un modo che possa dannegglare gli interessi legittimi dell organizzaziono oggetto dell audit. Questo concetto comprende il corretto tratamento delle informazioni sensibil o riservate. Indipendenza: la base per Iimparzialta delf'audit e Vobiettvita delle conclusion: delaucit Ogni qual volta possibile gi auditor dovrebbero essere indipendenti dallativita sottoposta ad audit, e dovrebbero in ogni caso agire in un mode libero da pregiudizi € confltto di interesse, Per gli audi interni, gli auditor dovrebbero essere indipendenti dalla tunzione sottoposta ad aucit, se praticablle. Gli auditor dovrebbero mantenere la propria obiettivita nel corso del processo ai aul per assicurare che le risultanze deli'audit © le relative condlusioni siano basate solo sulle evidenze deltaucit, Per organizzazioni oi piccole dimensioni pud rivelarsi impossibile che gli auditor interi siano completamente indipendenti daltattivita sottoposta ad audi, tuttavia dowrebbe essere protuso ogni sforzo per eliminare i pregiudizi e favorite Fobiettivita Approccio basato sullevidenza: il metodo razionale per raggiungere conclusion’ del audit affidabilie riproducibill in un proceso ai audit sisternatico Le evidenze delt'aucit dovrebbero essere veriicabil ein linea di magsima, basate su ‘campioni delle informazioni disponibil, poiché audit € condotto durante un periodo i tempo limitato e con risorse limitate. Si dovrebbe applicare un appropriato campionamento, poiché esso @ strettamente legato al livello di fiducia che pud ‘essere riposto nelle conclusioni delaudit, Approceio basato sul rischio (risk-based approach): un approccio all'audit che considera risehi e opportunita Lapproccio basato sul rischio dovrebbe influenzere in maniera sostanziale la pianiticazione, la conduzione e il reporting degli audit al fine di assicurare che quest'utimi siano focalizzati su questioni che siano significative per il committente deltaudit e per conseguire gli obietivi del programma di audit UNtEN iso 19011:2018 ou Pagina5A GESTIONE D1 UN PROGRAMMA DI AUDIT Generalita Dovrebbe essere stabil un programma di audit che possa comprendere audit a fronte di tuna o pity norme di sistem di gestione o altri requist, condotti separatamente © in modo ccombinato (audit combinato). LLestensione di un programma di audit dovrebbe essere basata sulla dimensione e sul tipo ) la complessita delausit; ©) se audit combinato o congiunto: 4) Imetodi di audit selezionati; e) _assicurare robiettivta e 'imparzialita per evitare ogni confltto di interesse relativo al processo di audit; 1) la capacita dei membri del gruppo di audit di lavorare e interagire efficacemente con i rappresentanti dell'organizzazione oggetio delf'audit e delle parti interessate rilevanti; 9) i fattori esteri/interni rlevant, come la lingua utilizzata nelfaualt e le caratteristiche sociali ¢ culturali delforganizzazione oggetto dellaudit. Tal fetiori possono essere affrontati 0 attraverso le abilta dell'auditor o attraverso il supporto di un esperto tecnico, anche considerando resigenza di interpret; hh) _iltipo e ta complessita dei processi da sottoporre ad audit, (Ove appropriate, la persona(e) che gestisce il programma di audit dovrebbe consultare i responsabile del gruppo di audit circa la composizione del gruppo stesso. ‘Se le competenze complessivamente necessarie nel gruppo di audit non sono coperte da quelle possedute dagliauaitor, dovrebbero essere inclusi nel gruppo esperti tecnici con le competenze aggiuntive. Possono essere inclusi nel gruppo di audit anche auditor in formazione, ma questi dovrebbero partecipare sotto la direzione e la guida di un auditor. Modifiche alla dimensione © composizione del gruppo di audit possono rendersi ‘necessatie nel cotso default, per esempio in caso d'insorgenza di confitto di interesse © di question’ ai competenza. Qualora si veriticasse tale situazione, questa dovrebbe essere risolta con le parti appropriate (per esempio, ilresponsabile del gruppo di auait, la persona(e) che gestisce il programma di audit, il committente dell'audit © organizzazione oggetto delf'audit) prima di atluare qualsiasi modifica, ‘Assegnazione della responsabilité per un singolo audit al responsabile del gruppo di audit. La persona(e) che gestisce il programma di audit dovrebbe assegnare la responsabilta della conduzione del singolo audit ad un responsabile di gruppo di audit. Linearico dovrebbe essere assegnato in tempo utile prima della data prevista pet audit, al fine di assicurare una pianificazione efficace dellaudit stesso. UNIEN iso 1e011:2018 UN Paginas556 Per assicurare una efficace conduzione dei singoli audit, dovrebbero essere fornite al ‘esponsabile del gruppo di audit le seguentiinformazioni: 8) gli obietivi dettauatt; b) _ J eriteri del’audit e qualsias’ informazione documentata pertinente; ) il campo ci applicazione delaudit, compresa lidentiicazione dellorganizzazione © delle sue funzioni e process! da sottoporre ad audit ¢) i processi di audit ed i metodi associati; ©) la composizione del gruppo di auci 1) | dettagh di contatto dell organizzazione oggetto del'aucit, i sit, durata delle ativta di audit da condurre; 9) _lerisorse necessatie per condurre audit; h) Ie informazioni richieste per valutare € affrontare i rischi e le opportunité per it conseguimento degli cbiettvi del'auct; i) le informazioni che supportano if responsabile(i) del) gruppo() di audit relfinterazione con torganizzazione oggetto del’audit ai fini delfetficacia del programma di audit. Le Informazioni riguardanti lincarico dovrebbero inolte trattare, per quanto appropriato, ‘quanto segue: = Ta lingua utiizzata per le attvita e per il reporting relativi alfaudit, nei casi in cul ‘questa sia diversa dalla lingua del'aucitor 0 del"organizzazione oggetto dell'audit, © Gi entrambi; = output del reporting riguardante taudit, come ‘ichiesto, e @ chi distribui ‘medesimo; = Je questioni riguardanti la riservatezza e la sicurezza delle Informazioni, come richiesto dal programma di audit - qualsiasi disposizione circa salute, sicurezza e ambiente di lavoro per gli auditor; = i requisit relativi a viaggi o per accesso a siti remot; = qualsiasi requisito relativo alla sicurezza (secunly)e alle autoriazazioni = qualsiasi azione da riesaminare, per esempio azioni successive (follow-up ) riguardanti un audit precedente; = il coordinamento con altre attivita ci audit, per esempio quando gruppl differenti ‘sottopongono ad audit process! similario correla in siti diversi o in caso di un audit ccongiunto. Qualora sia condotto un audit congiunto, & importante raggiungere un accordo tra le organizzazioni che conducono gli audit, prima che questo inizi, circa le responsabilita specifiche di ciascuna parte, con particolare riferimento al'autorita del responsabile del ‘gruppo (ai aucit) designato per auc, a Gestione dei isultati del programma di audit La persona(e) che gestisce il programma di audit dovrebbe assicurare che siano eseguite Je seguentiattivita a) la valutazione del raggiungimento degli obiettivi per ciascun audit all programma di audit; b) _ilriesame e fapprovazione del rapport di audit in rilerimento al rispetto del campo di applicazione e degli obiettivi del'aucit, ©) IIrlesame del'analisi del'eficacia delle azioni intraprese per trattare le risultanze delfaudtt; 6) _ Ia distribuzione del rapporti di audit alle parti interessate rlievantl; ©) _ la determinazione della necessita dl qualsiasi audit successive (follow-up audi). temo del LUNTEN 180 180112018 OW Pagraté