L'audit dei sistemi di gestione basati sull'elettronica

Le organizzazioni dipendono sempre più dai mezzi elettronici per il funzionamento ed il controllo dei propri sistemi di gestione. Questo implica che gli organismi di certificazione ed i loro auditor debbano elaborare nuovi approcci per assicurare che gli audit siano sempre efficaci. L'Auditing Practices Group ritiene che il metodo di valutazione dei processi e dei documenti correlati debba essere rivisto.

NUOVO! Metti alla prova le tue conoscenze!

1. Cos'è un sistema di gestione basato sull'elettronica (abbreviato dall'originale in inglese con EBMS)?

a) Un sistema sviluppato dagli organismi di certificazione per la gestione degli audit.

b) Un sistema che permette che gli audit siano effettuati in remoto (per es. dal computer dell'auditor ).

c) Un sistema che dipende per il suo normale funzionamento da documenti e dati in formato elettronico e da applicazioni software.

d) Tutto quanto sopra esposto.

2. Nella pianificazione dell'audit di un EBMS si dovrebbe prendere in considerazione:

a) In che modo il gruppo di audit avrà accesso all'EBMS.

b) Le salvaguardie per assicurare che gli auditor proteggano la riservatezza dei documenti elettronici.

c) Le politiche dell'organizzazione oggetto dell'audit riguardo l'uso della propria infrastruttura IT.

d) Tutto quanto sopra esposto.

3. Si viene informati che - per poter verificare se si stiano soddisfando o meno i requisiti di un processo - è necessario trascorrere parte del tempo dell'audit ad una postazione di computer che non si trova vicino al luogo dove fisicamente si svolge il processo in oggetto. In questo caso si dovrebbe:

a) Evidenziare questa situazione come una non conformità.

b) Ridurre il tempo effettivo di audit sul luogo dove fisicamente si svolge il processo.

c) Prevedere del tempo in più per fare avanti e indietro da dove fisicamente si svolge il processo.

d) Tutto quanto sopra esposto.

4. Nell'effettuare l'audit del controllo dei documenti elettronici, si dovrebbe:

a) Assicurare che tutti i documenti siano nello stesso formato, per es. testo, HTML o PDF.

b) Comprendere le politiche e le procedure dell'organizzazione riguardo i privilegi degli utenti.

c) Assicurare che nessun documento obsoleto sia controllato dall'EBMS.

d) Tutto quanto sopra esposto.

5. Quando si prende in esame il ruolo ricoperto dalla funzione IT in un'organizzazione, si dovrebbe considerare:

a) I controlli sia per i software esterni che per quelli interni.

b) I fattori ambientali che potrebbero incidere sull'EBMS.

c) La competenza del personale per il funzionamento di hardware e software.

d) Tutto quanto sopra esposto.

Per sapere quali sono le risposte giuste, vai alla fine dell'articolo!

 

Pianificare l'audit di un EBMS

Un'organizzazione potrebbe avere attuato un sistema di gestione che dipende per il suo normale funzionamento da documenti e dati elettronici ed applicazioni software. Questo tipo di sistema di gestione è noto come EBMS, acronimo dell'originale inglese di sistema di gestione basato sull'elettronica.

Durante la fase iniziale dell'audit (fase 1) l'auditor dovrebbe determinare la struttura dell'organizzazione da sottoporre ad audit e la misura in cui il suo sistema di gestione è basato sull'elettronica. Per esempio, potrebbe esserci un'organizzazione multi-sito con un EBMS centralizzato o persino un'organizzazione virtuale. Ne consegue che gli auditor dovrebbero verificare se i controlli sul sistema di gestione multi-sito siano coperti e definiti in modo adeguato nelle politiche e procedure dell'organizzazione oppure no.

Lista di riscontro per l'auditor:

  • assicurare che il gruppo di audit abbia l'opportunità di familiarizzare con il sistema di gestione basato sull'elettronica dell'organizzazione;
  • riesaminare le politiche dell'organizzazione per l'utilizzo dell'infrastruttura IT;
  • analizzare le istruzioni per l'accesso alle registrazioni ed ottenere i permessi di sicurezza necessari;
  • controllare che esistano tutele per assicurare che gli auditor proteggano la riservatezza dei documenti elettronici;
  • controllare la competenza del gruppo di audit affinché sia possibile effettuare una verifica efficace dell'EBMS; le organizzazioni che effettuano gli audit dovrebbero fornire formazione riguardo il trend generale dell'IT e considerazioni specifiche all'attività di audit;
  • assicurare che il riesame documentale possa essere effettuato in un luogo diverso dai siti dell'organizzazione, per es. on line oppure scaricando la documentazione ricevuta per posta elettronica; quando motivi tecnici o di sicurezza non lo permettono, il riesame dei documenti elettronici dovrebbe essere eseguito direttamente presso la sede dell'organizzazione durante la fase 1 dell'audit.

Audit sul posto

Il percorso dell'auditor tipicamente dovrebbe includere il luogo dove fisicamente avviene il processo oggetto di audit. Tuttavia, con un EBMS, il tempo necessario per verificare se i requisiti vengano soddisfatti o no potrebbe essere trascorso ad una postazione di computer che non si trova vicino al processo vero e proprio. In questo caso, il tempo effettivo dell'audit presso il luogo dove fisicamente avviene il processo potrebbe essere ridotto e dovrebbe essere tenuto in considerazione anche il tempo necessario per andare e tornare dal luogo dove si svolge il processo. L'auditor dovrebbe valutare i metodi impiegati per l'interazione tra il processo fisico ed il mezzo elettronico per assicurare l'accuratezza delle informazioni associate.

 

L'audit sul controllo dei documenti elettronici

I documenti elettronici che definiscono le politiche e le procedure del sistema di gestione possono essere in molti formati di file diversi, quali ad esempio testo, HTML, PDF, ecc. Anche i fogli elettronici ed i database sono considerati documenti elettronici, soggetti agli stessi elementi di controllo del sistema di gestione sottoposto ad audit.

Lista di riscontro per l'auditor:

  • assicurare che le politiche che governano i controlli adottati per la documentazione del sistema di gestione in generale siano applicate anche per i documenti elettronici;
  • verificare che vi siano metodi efficaci in ambito elettronico per assicurare che il riesame, l'approvazione, la pubblicazione e la distribuzione della documentazione del sistema di gestione siano adeguati;
  • comprendere i controlli specifici di un'applicazione almeno nella misura in cui essi sono utilizzati quale base per la conformità alla norma applicabile del sistema di gestione;
  • porre particolare attenzione agli elementi di controllo quali l'identificazione e lo stato di revisione del documento;
  • verificare che siano previsti controlli per la gestione dei documenti obsoleti;
  • verificare che esista una documentazione dell'EBMS che orienti gli utenti riguardo gli aspetti funzionali e di controllo associati ai documenti elettronici;
  • comprendere le politiche e le procedure dell'organizzazione riguardo i privilegi degli utenti;
  • verificare a quale livello i documenti elettronici scambiati con terze parti sono formalmente introdotti e controllati all'interno dell'EBMS.

L'audit sul controllo delle registrazioni elettroniche

Le registrazioni elettroniche consistono nei dati in uscita dal processo combinati con i moduli elettronici che alloggiano tali dati. Gli elementi di controllo per la modulistica elettronica non sono necessariamente gli stessi che si applicano alle registrazioni elettroniche.
Per esempio, per quanto concerne l'identificazione nel caso di moduli elettronici il termine si riferisce alla classificazione del modulo elettronico stesso. Nel caso di una registrazione elettronica, l'identificazione si riferisce invece all'utilizzo singolo del modulo elettronico abbinato ad un certo gruppo specifico di dati.
Dato che la base di conoscenza (o knowledge base) e le prestazioni dell'organizzazione potrebbero trovarsi quasi esclusivamente in registrazioni elettroniche, gli auditor dovrebbero analizzare gli approcci adottati dall'organizzazione per la protezione delle informazioni contenute nei mezzi elettronici. Per maggiori informazioni sulla sicurezza delle informazioni consultare la ISO/IEC 17799.

 

Risorse organizzative dell'IT

Con il progressivo migrare delle organizzazioni verso l'adozione di un EBMS, il ruolo della funzione IT diviene fondamentale.

Lista di riscontro per l'auditor:

  • l'organizzazione ha dedicato risorse IT appropriate per assicurare che l'EBMS funzioni efficacemente;
  • il livello di interazione, supporto e coinvolgimento del personale IT è adeguatamente definito;
  • in che modo l'organizzazione affronta i requisiti di competenza per il personale che fa funzionare l'hardware ed il software che governa l'EBMS;
  • l'EBMS viene assimilato ed utilizzato dal personale dell'organizzazione;
  • quali sono le politiche e le procedure di manutenzione del sistema adottate dall'organizzazione per la propria piattaforma IT;
  • se l'organizzazione dispone di sistemi di back-up dei dati e se questi sono periodicamente riesaminati per verificarne l'adeguatezza nel tempo;
  • i controlli definiti per il software interno ed esterno, per le licenze e gli aggiornamenti sono adeguati;
  • l'organizzazione ha preso in considerazione i fattori ambientali che potrebbero incidere sul funzionamento di un EBMS, quali ad esempio la manutenzione delle apparecchiature, la temperatura e l'umidità.

Comunicazione elettronica interna ed esterna

Quando intranet, messaggi di posta elettronica e messaggistica istantanea sono utilizzati per soddisfare i requisiti di un EBMS, l'auditor dovrebbe verificare che le politiche e le procedure indichino le circostanze nelle quali questi strumenti dovrebbero essere usati.
Se l'organizzazione dipende dalla propria infrastruttura IT per la comunicazione elettronica con i propri clienti (per es. per l'e-commerce), con i fornitori (per acquisti elettronici o e-procurement), con i siti esterni ed altri parti interessate, l'auditor dovrebbe verificare che le metodologie, le politiche e le procedure relative a queste comunicazioni ed alle transazioni correlate siano formalmente trattate all'interno dell'EBMS.


Risposte alle domande: 1 (c); 2 (d); 3 (b e c); 4 (b); 5 (d)

L'ISO 9001 Auditing Practices Group è un gruppo informale di esperti, auditor e professionisti SGQ provenienti dal Comitato Tecnico 176 dell’ISO - Gestione per la Qualità ed Assicurazione della Qualità (ISO/TC 176) e dall’International Accreditation Forum (IAF). Questo gruppo ha elaborato diversi documenti guida e presentazioni che contengono chiarimenti e spiegazioni sull’audit di SGQ e riflettono l’approccio per processi che è essenziale nella verifica dei requisiti ISO 9001.

 

Questo articolo è frutto di una rielaborazione dell'originale "‘Auditing electronic-based management systems (EBMS)" pubblicato sul sito dell'ISO 9001 Auditing Practices Group ed è qui riprodotto per gentile concessione ISO e IAF. Il documento originale è stato elaborato sulle migliori prassi esistenti e non è stato formalmente ratificato quale guida da parte dell’International Accreditation Forum (IAF) od interpretazione ufficiale da parte ISO/TC 176. Per ulteriori informazioni sull'ISO 9001 Auditing Practices Group cliccare qui.