IRCA INform

Un'operazione interna: l'audit interno

I problemi e le insidie degli audit interni possono essere evitati con un po' di preparazione prima di mettersi all'opera. Denise Robitaille discute come ottenere il meglio dal processo di audit e dall'organizzazione oggetto di verifica.

Come per qualsiasi altro processo, l'effettuazione di audit richiede di pianificare, definire, implementazione e controllo costanti per essere efficace. Senza questi aspetti, l'audit è una perdita di tempo che prosciuga le risorse.

L'audit interno è uno degli elementi che rende completo un sistema di gestione per la qualità (SGQ). Si inserisce perfettamente nella componente "controllo" del ciclo PDCA. L'audit interno non è un evento accidentale od opzionale che si tollera per mantenere la certificazione. E' uno strumento di valutazione che fornisce un indicatore affidabile dell'integrità del sistema e dei processi di un'organizzazione e la loro capacità a sostenere gli obiettivi definiti.

Gli audit aiutano ad individuare problemi, rischi, buone pratiche ed opportunità per servire meglio i propri clienti. Le informazioni raccolte da audit ben condotti costituiscono un patrimonio societario che ripaga di molto il modesto investimento in tempo e formazione. Il modo in cui l'organizzazione valuta ed usa tale patrimonio dipende in parte da come gli audit sono effettuati.

La dirigenza, nonostante il sostegno visibile e l'allocazione di risorse, ha la principale responsabilità di assicurare l'efficacia del programma di audit interno. Gli auditor hanno la responsabilità della buona amministrazione del supporto della direzione, come dimostra il loro impegno per le buone pratiche di audit e l'emissione di rapporti di audit significativi. La persona responsabile del programma di audit interno chiede alla direzione di sostenere quest'impresa. In cambio della fiducia implicita che risiede in questo sostegno, gli auditor si battono coscienziosamente per fornire informazioni preziose che la direzione possa utilizzare per la pianificazione strategica ed altri momenti decisionali.

Quanto segue sono alcune delle pratiche che possono aiutare un'organizzazione a raccogliere benefici dal proprio programma di audit interno. Sebbene i commenti siano diretti principalmente all'audit di prima parte (od interno), molti dei suggerimenti sono validi anche per audit di seconda e terza parte.

 

Pianificare gli audit

E' necessario accertarsi che il programma di audit e le frequenze definite riflettano le esigenze dell'organizzazione. Si deve dedicare opportuna considerazione alla criticità delle attività, all'identificazione delle aree che sono più soggette a cambiamenti o sostituzione di personale ed ai processi nei quali si sono verificati problemi o difficoltà. Riesaminare il piano di audit periodicamente e modificarlo in base a queste considerazioni.

Se si dispone di una linea produttiva matura e negli ultimi tempi non c'è stato nessuna nuova assunzione, verificare la formazione più di una volta all'anno è un esercizio documentale ridondante. Al contrario, se si gestiscono molti materiali di proprietà del cliente ed i loro requisiti variano in modo significativo, è necessario assicurarsi che tali attività siano inserite nel programma con una frequenza maggiore.

Una volta stabilito il proprio programma di audit si deve rispettarlo. Non bisogna prendere l'abitudine di modificare le date e posticipare gli audit al mese successivo per adattarsi alle priorità di qualcun altro. Fino a quando lo si permette, alcune persone troveranno sempre un modo per rimandare. Acconsentire a procrastinare fa persistere l'impressione che l'audit sia un compito "extra" da effettuarsi solo quando il tempo lo permette. Questo modo di pensare svaluta il processo e riduce la capacità dell'organizzazione di ricavare informazioni utili e tempestive.

 

Prepararsi per l'audit

Bisogna avere un piano di audit. Probabilmente la migliore ragione per avere un piano e comunicarlo, è che così si possono avvisare le persone in anticipo di quando si sarà nella loro area. E' normale cortesia. Aiuta molto nel far sparire la mentalità da caccia alle streghe con la quale le persone di solito percepiscono l'arrivo di un auditor. Non avvisare i responsabili di processo degli audit pianificati comporta altre conseguenze negative. Fino a quando le persone sentiranno che l'audit è un attacco a sorpresa progettato per coglierle in fallo, nasconderanno i problemi. Non vedranno l'audit come un evento che rileva fatti e pensato per far crescere una cultura del miglioramento. Lo guarderanno con il terrore del malandrino che ha paura di essere punito per la sua trasgressione, anche se probabilmente non hanno fatto nulla di sbagliato. Sono ricorrenti i problemi dovuti al fatto che le persone temono tantissimo le azioni punitive.

L'efficienza è un altro motivo per avere un piano di audit: fa risparmiare tempo. L'auditor ha una sequenza che fa andare via liscio l'audit e gli fa seguire un filo logico dall'input all'output attraverso una serie di processi. Una pianificazione efficace conferisce un elemento di scioltezza al processo di audit. Riduce al minimo il tornare sui propri passi e le visite ripetute che erodono tempo prezioso senza aggiungere valore.

E' importante riesaminare i documenti che descrivono i processi che si auditeranno. Questo aiuta nell'inquadrare le domande da porre alle persone intervistate ed alla fine solleciteranno delle risposte più complete. Leggere i documenti in anticipo aiuta inoltre ad identificare i requisiti più critici ed i punti nei quali la responsabilità di un prodotto (o di un processo) passa ad una nuova risorsa o funzione.

Ricordarsi di riesaminare l'ultimo verbale di audit e qualsiasi richiesta di azione correttiva che ne è emersa. Questo aiuta a valutare se le cose siano migliorate o se un problema sia rimasto o peggiorato. Quando il processo delle azioni correttive è ben collegato agli audit interni, si può verificare l'implementazione e l'efficacia delle azioni correttive quale parte del processo di audit.

Questo si applica a tutte le azioni correttive, a prescindere dalla loro origine. Una delle aree in cui ciò è particolarmente utile è nel verificare i risultati delle azioni correttive dei fornitori. Attraverso le domande che si pongono, si può aumentare la comprensione degli addetti agli acquisti circa il processo di verifica. Questo li aiuta a discernere se le risposte che hanno ricevuto dal fornitore forniscano davvero evidenza di un piano d'azione efficace. Senza tale verifica, tutto il reparto acquisti ha davvero solo l'evidenza che il fornitore è in grado di compilare un modulo. Si perdono delle opportunità per imparare e migliorare.

Delle domande semplici che potrebbero essere fatte da un auditor sono: "Come sa che il piano ha funzionato?" "Ha chiesto al fornitore di inviarci i rapporti di collaudo finale per l'ultimo ordine che ci hanno spedito affinché li si possa analizzare a fronte delle nostre registrazioni?" In questo modo, l'auditor lascia senza essere intrusivo dei suggerimenti che aumentano la comprensione degli altri su come il SGQ dell'organizzazione funzioni per migliorarne i processi; nel nostro esempio, attraverso l'efficacia e la produttività delle relazioni con il fornitore.

E' bene preparare una check-list. Anche se l'organizzazione usa liste di riscontro pre-confezionate, è importante prepararle e rivederle, sulla base dei documenti che si è riesaminato, in modo che il percorso di audit che si traccia sia completo. Questo aiuta inoltre ad elaborare domande per non perdere tempo e serve per evitare di "sconfinare" dall'ambito dell'audit.

 

Utilizzare pratiche di audit accettate

A prescindere dal fatto che si tratti di un audit interno od esterno, non esistono scuse per ignorare le buone pratiche di audit.

Iniziando dal condurre una riunione di apertura: per un audit di certificazione di parte terza, si tratta di un evento piuttosto formale con un'intera lista di argomenti che devono essere coperti: ambito di applicazione, scopo, norma, durata, programma, riservatezza ed accordi per la non divulgazione, regole per la verbalizzazione delle non conformità, dispositivi di sicurezza, guide ed procedura per eventuali ricorsi. Per un audit interno, è appropriato avere una versione abbreviata che descriva brevemente quali processi saranno oggetto di audit, quanto tempo si ritiene durerà l'audit e le persone che si desidera eventualmente intervistare. Arrivare in un'area ed iniziare l'audit senza alcun commento iniziale o senza un semplice saluto serve solo ad aumentare la tensione e la probabilità di allontanare coloro che possono favorire un audit produttivo.

Prestare attenzione a come si formulano le domande. Ecco alcune indicazioni da ricordare:

• Tener sempre presente che le persone intervistate non sono state assunte per rispondere alle domande dell'auditor. Sono pagate per fare il loro lavoro, quindi probabilmente non riporteranno il testo parola per parola da una procedura. Dovrebbero descrivere il loro processo in modo che permetta all'auditor di capirlo e che dimostri anche quanto loro lo capiscono.
• Fare domande a risposta aperta, invece del tipo di domande che otterranno solo risposte sì/no. Date alle persone intervistate l'opportunità di spiegare cosa fanno. La persona fornirà informazioni più complete se non viene pilotata verso la nozione preconcetta dell'auditor di quale dovrebbe essere la risposta.
• Chiedere alla persona auditata come svolge il proprio lavoro. Non si sta solo cercando di verificare che qualcosa venga fatto, si vuole piuttosto verificare che sia fatto correttamente, come prescritto. Leggere un rapporto su un prodotto non conforme ci dice che qualcosa non è stato fatto nel modo corretto, ma verificare il processo permette di individuare cosa è andato storto.
• Ricordarsi di utilizzare i documenti quale supporto per inquadrare le domande. Questo permette di determinare se la documentazione rispecchia accuratamente i requisiti del processo.
• Non aver paura di riformulare o ripetere una domanda. A volte si ha bisogno di arrivare ad un argomento da un'angolazione differente. Riformulare la domanda permette alla persona intervistata di capire che cosa l'auditor cerchi di accertare.
• Dare al responsabile di processo il tempo di rispondere. Attendere: potrebbe star pensando. Non presupporre che una risposta ritardata indichi che la persona stia mentendo od inventandosi qualcosa.
• Chiedere cosa succede in seguito. Evitare di parlare qualitatese. Se si sta cercando di determinare qual è l'output di un processo, chiedere semplicemente "Cosa succede dopo?". Se si chiede ad un tecnico del servizio clienti "Qual è l'output del processo?" si ottiene probabilmente uno sguardo perso nel vuoto seguito da un momento di imbarazzo nel quale l'auditor intuisce di aver appena fatto sentire incompetente il proprio interlocutore. Il che non è proprio il caso. Sa perfettamente che una volta che l'ordine viene inserito nel database viene inoltrato alla programmazione, la quale conferma la data di consegna in modo che l'ordine possa essere confermato al cliente.
• Suggerire una situazione ipotetica e chiedere "Cosa accadrebbe se...?" Questo aiuta a verificare quanto il processo sia sotto controllo se si verifica una deviazione o qualcosa va storto. Aiuta anche a valutare l'efficacia della comunicazione e la definizione di autorità e responsabilità. La persona sa che cosa è autorizzata a gestire e quali eventi richiedono di consultare un supervisore?
• Chiedere perché. Le persone che svolgono dei compiti meccanicamente, senza capire la ragione dell'attività, è meno probabile siano diligenti nell'assicurare che il processo sia uniformemente e correttamente implementato. E' difficile tenere a qualcosa che non ha senso.
• Ascolta l'organizzazione oggetto di audit. L'auditor deve allenare le proprie abilità di ascoltatore. Bisogna chiedersi: sto ascoltando quanto mi sta dicendo la persona intervistata o sento solo quello che prevedo sarà la sua risposta? L'ascolto è facilitato dal semplice esercizio di guardare direttamente la persona che sta parlando: non solo si rimane più concentrati, ma si trasmette all'altro che si è interessati a quanto ha da dire.
• Scrivere la risposta così non la si dimentica. Registrare inoltre l'evidenza verificata. Prendere molti appunti: forniscono la base del rapporto di audit e dissipano anche qualsiasi discussione. L'auditor non deve difendere le proprie conclusioni, serve solo un riferimento all'evidenza sulla quale si fonda l'osservazione.
• Se si scrive mentre la persona parla, accertarsi che lo sappia. Basta dire qualcosa come "La sto ascoltando, ma ho bisogno di prender nota". Quando si ha la sensazione che l'interlocutore tema che il rapporto dell'auditor avrà come conseguenza un'azione punitiva, spiegare perché si prendono appunti. La mia battuta preferita è: "Ho il cervello come un colabrodo. Se non prendo appunti, dimentico e non sono poi in grado di fare il rapporto".
• Accertarsi sempre di comunicare alla persona auditata quando si intende verbalizzare una non conformità scoperta nella sua area. Questo si ricollega alla paura delle azioni punitive cui abbiamo già accennato. A nessuno piace essere colto alle spalle due giorni dopo un audit da un rapporto che sembra dire che hai sbagliato tutto. E' importante dire alla persona cosa sarà messo a rapporto e fornirle rassicurazioni che l'intento è quello di rendere il processo migliore per tutti.
• Non lasciare mai un'area o un reparto senza aver detto "Grazie".

 

Scrivere un rapporto di audit completo

Il rapporto non deve essere prolisso, ma dovrebbe comunicare un riassunto equilibrato dello stato dell'organizzazione oggetto di audit. Dovrebbe citare le buone pratiche che sono state osservate, i rischi percepiti ed i problemi che sono stati individuati.

Il rapporto di audit dovrebbe includere quanto segue:

• Data dell'audit: quando ha avuto luogo l'audit? Fornisce evidenza che gli audit vengono condotti in accordo al programma di audit stabilito. Se la direzione vuole sapere quante risorse si stanno dedicando, è appropriato indicare anche la durata dell'audit. Quanto tempo e soldi sta spendendo l'organizzazione per gli audit interni?
• Aree oggetto dell'audit. Quando la società ha più siti, questo è ancora più importante.
• La norma utilizzata. Per un audit di parte terza è di solito una norma di SGQ, per es. ISO 9001, ISO/TS 16949, ISO 13485, ecc. Per gli audit interni si tratta di solito di un elenco dei documenti interni associati alle funzioni ed alle attività oggetto di audit, per es.: procedure, istruzioni operative e schede di lavorazione dettagliate.
• Nome del lead auditor e del gruppo di audit. Quando c'è solo un auditor, quella persona è il lead auditor.
• Le persone intervistate. Fornisce evidenza che le persone che hanno risposto alle domande erano davvero i responsabili di processo che sono responsabili dell'attività. Non è raro che le persone cerchino di aiutare e rispondano ad una domanda dell'auditor anche se non fa parte del loro lavoro quotidiano. A volte l'auditor scopre troppo tardi che non stava parlando con la persona giusta. Quello che si sente è un manager che dice: "Francesca non si occupa dell'accettazione pazienti, quindi non sa dove teniamo questi moduli".
  Registrare i nomi delle persone intervistate aiuta gli auditor a fornire evidenza oggettiva che hanno soddisfatto i requisiti del processo di audit.
• Aspetti positivi. L'audit non è un tentativo di guardare una raccolta di cattivi processi, quindi un rapporto di audit dovrebbe menzionare anche quanto di buono è stato osservato. "Il software per la progettazione recentemente sviluppato facilita il controllo dei nuovi progetti","Le registrazioni forniscono evidenza che gli operatori hanno ricevuto formazione sulla macchina CNC", "Il sistema di registrazione delle azioni correttive riesce meglio a calcolare il costo delle non conformità ed i soldi risparmiati dopo che i problemi sono stati risolti" ed altri esempi simili.
• Non conformità. Quando si scrivono le risultanze di una non conformità è importante essere chiari ed esaustivi. Qual è la reale non conformità? Qual è la norma/documento che definisce il requisito? Quale evidenza è stata utilizzata per arrivare alla conclusione che c'era una non conformità? Un'enunciazione ben articolata di non conformità dovrebbe fornire sufficienti indicazioni e chiarezza affinché il responsabile di processo la possa utilizzare per avviare un'analisi delle cause e sviluppare in seguito un piano di azioni correttive fattibile.
• Osservazioni (chiamate anche opportunità di miglioramento). E' appropriato che gli auditor mettano per iscritto la percezione di rischi o l'individuazione di un processo che potrebbe non essere sotto controllo come dovrebbe essere per evitare problemi. Le osservazioni non dovrebbero dire esplicitamente che qualcosa non va bene, ma suggerire che potrebbe andar male. Come le non conformità, le osservazioni dovrebbero essere legate ai requisiti per fugare la congettura sbagliata che si tratti solo di idee venute al momento dall'auditor.

Seguire queste pratiche di audit fondamentali dovrebbe assicurare che le informazioni che la direzione riceve siano accurate, rispecchino lo stato dell'organizzazione e siano abbastanza dettagliate da originare le corrette decisioni. E' questo che rende gli audit efficaci. Qualsiasi cosa meno di questo è solo un'accozzaglia di carte senza senso.

 

L'autrice

Denise Robitaille è Lead Auditor certificato RABQSA, Quality Auditor certificato ASQ e membro del Technical Advisory Group (TAG) americano del comitato tecnico ISO/TC 176. Questo articolo è stato pubblicato per la prima volta nella rivista Quality Digest www.qualitydigest.com.