CAMPO DI APPLICAZIONE DELL'AUDIT

Nelle verifiche Ispettive Interne sentiamo spesso parlare di campo di applicazione. Ma di cosa si tratta esattamente e a cosa serve? E, ancora, è un concetto che permette alle organizzazioni di trarre dei vantaggi oppure fa in modo che per gli auditor sia facile oltrepassare i confini dell'audit?
Paul Simpson, di IRCA (International Register of Certificated Auditors), prende in esame, nella riflessione che segue, tutti questi interrogativi.

Ognuno degli standard più conosciuti, detti anche i ‘tre grandi’, richiede che le organizzazioni definiscano e documentino lo scopo del loro Sistema di Gestione:

• ISO 9001:2000 - ...L'organizzazione deve preparare e tenere aggiornato un manuale della qualità che includa: a) il campo di applicazione del sistema di gestione per la qualità, nonché dettagli sulle eventuali esclusioni e le relative giustificazioni...
• ISO 14001:2004 - ...L'organizzazione deve definire e documentare il campo di applicazione del sistema di gestione per l'ambiente...
• BS OHSAS 18001:2007 - ...L'organizzazione deve definire e documentare il campo di applicazione del sistema di gestione per la salute e la sicurezza...

Ma perché, per ognuno di questi standard, è così importante descrivere in modo accurato il campo di applicazione del proprio Sistema di Gestione?
Presto detto: se deve dimostrare la sua capacità di soddisfare i requisiti dei clienti relativamente a prodotti e servizi vi aspettate che lo scopo del sistema copra proprio questi argomenti.
In maniera del tutto simile, se deve dimostrare una gestione dal punto di vista ambientale il sistema dovrà coprire l'intero sito e l'intero ciclo di vita del prodotto.
Infine, se parliamo di sicurezza, il sistema dovrà essere in grado di dimostrare che si preoccupa di salvaguardare tutte le persone che lavorano a contatto con esso.

Dobbiamo considerare attentamente la portata della definizione del campo di applicazione quando pianifichiamo e avviamo una valutazione di un Sistema di Gestione. Un campo di applicazione ristretto richiede una conoscenza approfondita dell'organizzazione a partire dal suo dipartimento di marketing fino ad arrivare al processo di selezione dei fornitori che, se fatto sulla base del semplice rilascio di una certificazione, può non essere sufficiente. Basta dare un'occhiata, infatti, al numero di accreditamenti millantati o di certificazioni false accettate come prova della competenza di qualcuno per capire che il significato della certificazione in sé non è ancora stato ben compreso e ancora meno lo è il suo campo di applicazione.

Vi cito un esempio, in qualità di CEO della Megadeath Global Nuclear Processing and Dumping plc, scelsi di certificare secondo tutti e tre gli standard un dipartimento della mia azienda senza assumermi il rischio di una verifica indipendente che andasse a coprire tutto il campo di applicazione dell'azienda, esattamente come previsto dalla norma ISO 9000 che definisce come "organizzazione" una Società, raggruppamento di società, azienda, impresa, istituzione, organismo umanitario, concessionario, associazione, o loro parti o combinazioni. Aggiungo che ogni ente certificatore è obbligato ad accettare la mia domanda di certificazione. Raramente si è vista in giro una palese violazione dello spirito dei requisiti della norma maggiore di questa.

In maniera simile, molti enti certificatori offrono certificazioni che contemplano come scopo certificare un lavoro che per gran parte viene svolto presso immobili di proprietà dei clienti dell'organizzazione. Come è possibile fare una cosa del genere senza aver visitato il posto? Eppure succede e anche con regolarità.

Esaminati i casi limite, non dobbiamo dimenticare che ci possono essere ragioni obiettivamente valide per formulare un campo di applicazione ristretto; molte organizzazioni partono con un esperimento pilota certificando il Sistema di Gestione di un'area con l'obiettivo, in seguito, di estendere la certificazione a tutta l'organizzazione.

E' vero, però, anche il contrario e cioè che è possibile incontrare un auditor entusiasta che tende ad estendere i confini della sua autorità fino ad includere requisiti che dovrebbero rimanere esterni ai criteri previsti per la verifica ispettiva.

Un comportamento di questo tipo si può vedere quando vengono segnalate non conformità per requisiti che non esistono, magari facendo riferimento ad un campo di applicazione più ampio. Un esempio può aiutare a capire meglio: vengono sollevate non conformità per mancanze relative a salute e sicurezza, solitamente facendo riferimento ai punti 6.3 o 6.4 della ISO 9001:2000. Ora, a meno che un cliente dell'organizzazione non abbia stabilito requisiti addizionali nel contratto preso in esame, la sola giustificazione per il fatto di aver elevato una non conformità risiede nella capacità di dimostrare un impatto effettivo di ciò che si è notato sulla qualità del prodotto finito e non un impatto potenziale.

In ogni verifica ispettiva ci sono dei limiti temporali oggettivi da rispettare e saperli prevedere è un vantaggio competitivo per ogni ente di certificazione. Le pressioni maggiori che derivano dai clienti, infatti, riguardano proprio tempistiche brevi per la verifica e costi più contenuti ma tutto questo, naturalmente, non deve andare a discapito della qualità dell'audit.

La verifica ispettiva rimane un'attività tesa a dimostrare qualcosa ma è fondamentale che gli esempi utilizzati per farlo siano selezionati dal team che conduce la verifica allo scopo di coprire tutte le attività. In caso contrario l'audit si ridurrebbe ad essere qualcosa che si può fare anche in una sala riunioni, esattamente come la riunione che si tiene per il riesame della Direzione.

Stabilire l'ambito dell'applicazione è dunque vitale in una Verifica Ispettiva; dovrà permettere di coprire tutte le aree, di restare all'interno di quanto stabilito sul contratto tra le parti e di mantenere i confini pattuiti.

(Fonte: IRCA)