Checklist pre-audit interno ISO 9001: cosa verificare prima di iniziare
Checklist operativa per preparare BENE un audit interno ISO 9001: obiettivi, criteri, documenti, processi, domande, evidenze ed errori da evitare. Con file scaricabile
"Mi ci vogliono sei ore per abbattere un albero. Le prime quattro le passo ad affilare l'ascia."
— Abramo LincolnQuesta frase racchiude una verità che ogni auditor interno dovrebbe tenere bene a mente: la qualità di un audit si decide prima che l'audit cominci.
Eppure, nella pratica quotidiana dei sistemi di gestione, la preparazione resta il grande sacrificato sull'altare della fretta. L'audit viene vissuto come una scadenza, un adempimento da sbrigare e ci si ritrova a raccogliere documenti la sera prima, a rileggere le procedure in fretta e furia e a improvvisare le domande al momento. Il risultato, naturalmente, è un audit superficiale con rilievi prevedibili e nessun valore aggiunto. In una parola: tempo sprecato.
Questo articolo nasce per cambiare prospettiva. Quello che troverai qui non è l'ennesimo riassunto del punto 9.2 della ISO 9001, ma una checklist pre-audit pensata per arrivare alla riunione di apertura con le idee chiare, i documenti giusti, le domande giuste e la consapevolezza di cosa cercare e dove cercare.
La preparazione è tutto
Nel suo libro "Pensieri lenti e veloci", Daniel Kahneman spiega come il nostro cervello tenda a prendere scorciatoie cognitive, specialmente quando è sotto pressione. Un auditor che arriva impreparato attiverà inevitabilmente il "sistema 1" (quello veloce ma superficiale) e finirà per concentrarsi sui soliti elementi: il documento mancante o la registrazione scaduta. È la classica "caccia alle streghe" che non piace a nessuno e che, soprattutto, non produce miglioramento.
Un auditor preparato, al contrario, ha già fatto il lavoro di analisi e conosce la storia del processo che andrà a verificare: sa cosa è emerso negli audit interni precedenti, quali azioni correttive sono state aperte, quali sono i KPI critici, dove si concentrano i reclami dei clienti, ecc. Può permettersi di fare domande di sostanza e di seguire il filo logico del processo.
La ISO 9000:2015, del resto, definisce l'audit come un "processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle con obiettività". La parola chiave qui è sistematico: non improvvisato ma pianificato con metodo; e il metodo inizia dalla preparazione.
Le 7 aree della checklist pre-audit: panoramica
Ecco le sette macro-aree che ogni auditor dovrebbe verificare prima di iniziare un audit interno. Nelle sezioni successive dell'articolo le analizzeremo una per una, con indicazioni pratiche su cosa controllare concretamente.
| # | Area | Domanda chiave |
|---|---|---|
| 1 | Obiettivo dell'audit | Perché lo stiamo facendo? È chiaro a tutti? |
| 2 | Criteri e campo di applicazione | Cosa stiamo cercando e dove? |
| 3 | Documentazione | Abbiamo studiato tutto il materiale disponibile? |
| 4 | Processi coinvolti | Conosciamo il territorio che andremo a esplorare? |
| 5 | Domande iniziali | Abbiamo preparato le domande giuste? |
| 6 | Evidenze da cercare | Sappiamo cosa dovremmo trovare se il processo funzionasse bene? |
| 7 | Errori da evitare | Conosciamo le trappole in cui cadono anche gli esperti? |
1. Obiettivo dell'audit: perché lo stiamo facendo?
Sembra banale, eppure è il punto su cui si inciampa più spesso: un audit senza un obiettivo chiaro non arriva da nessuna parte.
Prima di tutto, chiediti: questo audit è previsto dal programma annuale approvato dalla direzione? Si tratta di un audit di conformità (verificare l'aderenza ai requisiti della norma), di efficacia (verificare che i processi raggiungano i risultati attesi), di follow-up (verificare l'attuazione di azioni correttive precedenti) o di un mix di queste tipologie?
Un obiettivo generico produce un audit generico. Molto meglio formularlo così: "verificare l'efficacia del processo di approvvigionamento con particolare attenzione alla qualificazione dei fornitori critici e alla gestione delle non conformità in accettazione, anche alla luce dei reclami ricevuti nel secondo semestre".
Un consiglio pratico: se l'organizzazione ha avuto cambiamenti significativi recenti (nuovo software gestionale, riorganizzazione, cambio di fornitori chiave, nuovi requisiti normativi), l'obiettivo dell'audit dovrebbe tenerne conto esplicitamente.
A livello di indicatori per misurare l'efficacia della tua preparazione, puoi monitorare quanti rilievi "di sostanza" produce un audit rispetto a quelli puramente formali. Se la percentuale di rilievi che generano azioni correttive con un impatto reale sui processi è bassa, probabilmente il problema non è il processo auditato ma la qualità della preparazione dell'audit stesso.
2. Criteri e campo di applicazione: cosa stiamo cercando e dove?
I criteri dell'audit sono il metro di misura e sono fondamentali perché, senza un metro chiaro, qualsiasi valutazione diventa arbitraria. Ma cosa si intende, nella pratica, per "criteri"? La ISO 19011 li definisce come l'insieme di politiche, procedure e requisiti utilizzati come termine di riferimento con cui confrontare le evidenze oggettive raccolte. Tradotto in linguaggio operativo: sono tutto ciò che ti permette di dire "questo è conforme" oppure "questo non lo è".
Vediamoli uno per uno, con esempi concreti.
I cinque tipi di criteri (e come identificarli)
1. La norma di riferimento (ISO 9001)
È il criterio più ovvio ma anche il più frainteso. Quando parliamo di "ISO 9001 come criterio" non intendiamo la norma in astratto, ma i suoi requisiti specifici applicabili al processo che stiamo auditando. Se sto auditando il processo di approvvigionamento, i criteri ISO 9001 che mi interessano sono principalmente quelli del punto 8.4 (Controllo dei processi, prodotti e servizi forniti dall'esterno), non tutta la norma.
2. I documenti del sistema di gestione
Procedure, istruzioni operative, politiche interne, manuale della qualità (se esiste). Sono i documenti che l'organizzazione stessa si è data e l'auditor verifica che vengano rispettati, perché "dire una cosa e farne un'altra" è già di per sé una non conformità.
3. I requisiti cogenti (leggi, regolamenti, norme tecniche obbligatorie)
Tutto ciò che l'organizzazione deve rispettare per legge: dal GDPR al Codice dei contratti pubblici, dal Regolamento Macchine alla normativa fiscale, dalle direttive di settore ai regolamenti locali. Il sistema qualità deve garantirne il rispetto.
Esempio pratico: un'azienda che produce dispositivi medici deve rispettare il Regolamento UE 2017/745 (MDR). Durante un audit sul processo di progettazione, verifichi se i file tecnici sono conformi ai requisiti dell'Allegato II del MDR. Il regolamento è uno dei criteri dell'audit, al pari della ISO 9001.
4. I requisiti contrattuali dei clienti
Specifiche tecniche, capitolati, requisiti particolari negoziati con clienti specifici. Sono criteri "privati" ma altrettanto vincolanti.
Esempio pratico: un fornitore automotive che lavora per un costruttore tedesco ha accettato contrattualmente requisiti come il CSR (Customer Specific Requirements), che prevedono ad esempio tempi di risposta di 24 ore per i reclami e l'uso obbligatorio di specifici strumenti di problem solving (8D). Questi requisiti diventano criteri dell'audit interno sul processo di gestione reclami.
5. Gli obiettivi e gli impegni interni
Politica per la qualità, obiettivi misurabili, KPI di processo dichiarati nella documentazione sono tutti criteri: se l'azienda ha dichiarato di voler ridurre i reclami del 20% nell'anno, l'auditor verifica se questo impegno è stato preso sul serio.
Esempio pratico: la politica per la qualità dichiara "consegne puntuali al 98%". Il KPI misurato mostra il 91% da sei mesi. Non c'è allineamento tra impegno dichiarato e risultato effettivo: l'audit deve approfondire perché e cosa è stato fatto per colmare il gap.
Supponiamo di dover auditare il processo di gestione dei reclami clienti in un'azienda metalmeccanica certificata ISO 9001. I criteri andrebbero esplicitati così nel piano di audit:
- Normativi: ISO 9001:2015 punti 8.2.1 (comunicazione con il cliente), 9.1.2 (soddisfazione del cliente), 10.2 (non conformità e azioni correttive)
- Interni: procedura PRO-QUA-07 "Gestione reclami" rev. 3, modulo MOD-QUA-12 "Scheda reclamo"
- Cogenti: Codice del Consumo (D.Lgs. 206/2005) per la parte relativa ai tempi di risposta
- Contrattuali: CSR del cliente XXX (tempo risposta max 48h, uso metodologia 8D per reclami tecnici)
- Obiettivi interni: KPI 2026 "tempo medio di chiusura reclamo ≤ 15 giorni", obiettivo "riduzione reclami -15% vs 2025"
Con questi criteri esplicitati, ogni evidenza raccolta durante l'audit può essere confrontata con un parametro oggettivo.
Il campo di applicazione: delimitare i confini
Il campo di applicazione dell'audit, invece, delimita i confini: quali processi, quali siti, quali reparti, quali turni di lavoro, quale arco temporale dei dati da esaminare. Un errore frequente è definire campi troppo ampi per il tempo disponibile, con il risultato di fare tutto in modo superficiale.
Un buon campo di applicazione risponde a quattro domande:
- cosa: quali processi sono inclusi? (es. "processo di approvvigionamento, limitatamente ai fornitori di materie prime critiche")
- dove: quale sito, quale reparto? (es. "stabilimento di Torino, reparto accettazione")
- quando: quale periodo di riferimento dei dati? (es. "dati e registrazioni relativi agli ultimi 12 mesi")
- chi: quali funzioni coinvolte? (es. "ufficio acquisti, controllo qualità in accettazione, magazzino")
Definire tutto questo prima evita una delle situazioni più imbarazzanti per un auditor: arrivare sul posto, accorgersi che il tempo non basta e dover scegliere al volo cosa tagliare. Le scelte fatte sotto pressione raramente sono le migliori.
Dal febbraio 2024, l'Amendment 1 alla ISO 9001:2015 ha introdotto l'obbligo di considerare se il cambiamento climatico sia un fattore rilevante per il contesto dell'organizzazione (punti 4.1 e 4.2). Questo non è un requisito "ambientale" riservato alla ISO 14001: riguarda tutti i sistemi qualità certificati. L'auditor dovrebbe verificare che l'organizzazione abbia almeno preso in considerazione questo aspetto che è un criterio in più da aggiungere alla lista quando si predispone il piano di audit.
3. Documentazione da esaminare: il lavoro che si fa alla scrivania
Qui sta il cuore della preparazione: prima di mettere piede nel reparto produzione o nell'ufficio acquisti, l'auditor dovrebbe aver già esaminato una serie di documenti fondamentali.
Sul fronte del sistema di gestione: la politica per la qualità (è aggiornata? È coerente con la direzione strategica?), gli obiettivi per la qualità e i piani per raggiungerli, il campo di applicazione del SGQ, l'analisi del contesto, il registro delle parti interessate e la matrice dei rischi e delle opportunità.
Sul fronte operativo: le procedure e le istruzioni operative relative ai processi oggetto dell'audit, le registrazioni degli ultimi 6-12 mesi, i rapporti degli audit precedenti con lo stato delle azioni correttive, il verbale dell'ultimo riesame di direzione, i KPI di processo con i relativi trend, i reclami dei clienti e le non conformità interne.
"È un errore capitale teorizzare prima di avere i dati"
— Arthur Conan Doyle, "Uno studio in rosso"4. Processi coinvolti: capire il territorio
L'approccio per processi è il pilastro della ISO 9001, eppure molti audit interni si conducono ancora con una logica "per punti", saltando da un requisito all'altro senza mai seguire il flusso reale del lavoro.
Prima dell'audit, l'auditor dovrebbe avere una visione chiara dei processi coinvolti: chi ne è il responsabile (il process owner), quali sono gli input e gli output, quali risorse vengono utilizzate, quali vincoli esistono, come vengono misurate le prestazioni.
È utile anche verificare le interazioni tra processi. In molti sistemi qualità, i processi vengono descritti come entità isolate, quando in realtà il valore si genera (o si distrugge) proprio nelle interfacce: nel passaggio dal commerciale alla progettazione o dalla produzione al magazzino. Un auditor che ignora le interfacce rischia di dare una valutazione positiva a processi che, presi singolarmente, funzionano bene ma che, collegati tra loro, generano ritardi, rilavorazioni e insoddisfazione del cliente.
"Un sistema deve essere gestito. Non si gestisce da solo."
— W. Edwards DemingL'audit è il momento in cui si verifica se qualcuno lo sta gestendo davvero.
5. Domande iniziali: prepararle, non improvvisarle
Le domande sono lo strumento principale dell'auditor e, come ogni strumento, funzionano bene solo se sono state scelte con cura.
Il principio guida è semplice:domande aperte, non chiuse. "Avete una procedura per la gestione dei reclami?" (risposta: sì/no) non dice nulla. "Mi può descrivere come gestite un reclamo dall'inizio alla fine, facendomi un esempio recente?" apre un mondo.
Le domande da preparare si raggruppano in tre macro-aree:
- contesto e leadership: come viene gestito il contesto dell'organizzazione? Come la direzione dimostra il proprio impegno per la qualità? Come vengono comunicati la politica e gli obiettivi?
- operatività: come funziona il processo dall'inizio alla fine? Cosa succede quando qualcosa va storto? Come vengono gestiti i cambiamenti? Come viene garantita la competenza del personale?
- miglioramento: quali azioni di miglioramento sono state intraprese nell'ultimo anno? Come vengono analizzate le cause delle non conformità? Come viene verificata l'efficacia delle azioni correttive?
La prima domanda non dovrebbe mai essere la più impegnativa. Si inizia con qualcosa di confortevole ("mi racconta brevemente di cosa si occupa il suo reparto?") e si procede gradualmente verso il dettaglio. L'auditor non è un inquisitore: è un professionista che cerca di capire come funzionano le cose.
6. Evidenze da cercare: oltre la carta
La ISO 9001:2015 ha ridotto significativamente i requisiti documentali rispetto alle versioni precedenti: non richiede più un manuale della qualità e non prescrive procedure specifiche per ogni attività. Questo, paradossalmente, rende il lavoro dell'auditor più complesso perché non basta più verificare che i documenti ci siano, bisogna verificare che i processi funzionino.
Le evidenze da cercare sono di tre tipi: documentali (registrazioni, report, verbali), testimoniali (dichiarazioni delle persone intervistate) e osservate (ciò che l'auditor vede e verifica di persona sul campo).
Occorre mettere in relazione questi tre tipi di evidenze tra lorom perché un processo può avere procedure perfette (evidenza documentale) ma il personale che non le conosce (evidenza testimoniale) e che, sul campo, si comporta in modo diverso dal previsto (evidenza osservata). Questa incoerenza tra il "dire" e il "fare" è uno degli aspetti più critici e più osservati durante gli audit perché è proprio lì che si misura la maturità del sistema.
Un approccio particolarmente efficace: scegli un output specifico (un ordine del cliente, una commessa, un prodotto finito) e ripercorri il percorso a ritroso, dalla consegna fino all'acquisizione dell'ordine. Lungo questo percorso, le evidenze emergono naturalmente: chi ha approvato cosa, quando, con quali strumenti, sulla base di quali criteri. Funziona molto meglio dell'approccio "punto per punto" perché segue la logica del lavoro reale.
Un indicatore utile da monitorare in fase di preparazione è il rapporto tra le evidenze attese e le evidenze effettivamente disponibili: se per un processo chiave mancano dati di monitoraggio o registrazioni fondamentali, è già un segnale significativo ancora prima di iniziare l'audit vero e proprio.
7. Errori tipici da evitare: impara da chi ha sbagliato prima di te
Ogni auditor esperto ha il suo catalogo personale di errori commessi. Ecco i più frequenti, quelli che valgono come promemoria universale.
Il primo e il più diffuso è arrivare impreparati: non aver letto i rapporti precedenti, non conoscere gli indicatori del processo, non sapere quali azioni correttive sono aperte. Il secondo è usare checklist generiche, quelle che si trovano online e che contengono 300 domande valide per qualsiasi organizzazione del pianeta e, proprio per questo, inutili per qualsiasi organizzazione specifica.
L'auditor che si comporta da "ispettore" crea resistenza e chiusura. Le persone nascondono i problemi invece di mostrarli e l'audit perde ogni valore. Come diceva W. Edwards Deming: "il compito del management non è la supervisione, ma la leadership". Lo stesso vale per l'auditor interno.
Altri errori ricorrenti: non gestire i tempi (dedicare due ore al primo processo e quindici minuti all'ultimo), trascurare la verifica delle azioni correttive precedenti, confondere la conformità documentale con l'efficacia reale e dimenticare di evidenziare anche le buone pratiche. Un rapporto di audit che contiene solo non conformità è un rapporto incompleto e un'occasione persa per motivare le persone.
Infine, un errore sottile ma insidioso: applicare lo stesso livello di profondità a tutti i processi, indipendentemente dalla loro criticità. La ISO 19011 raccomanda esplicitamente di basare la pianificazione degli audit sulla significatività dei processi, sui rischi associati e sui risultati degli audit precedenti. Un processo che ha mostrato debolezze ripetute merita più attenzione di uno che funziona bene da anni. Sembra ovvio, eppure quanti programmi di audit assegnano a tutti i processi la stessa mezza giornata?
"La scienza progredisce per congetture e confutazioni"
— Karl PopperL'audit interno funziona allo stesso modo. L'auditor preparato formula un'ipotesi (il processo funziona come descritto) e poi cerca attivamente le evidenze che la confermino o la smentiscano. Chi si prepara bene formula ipotesi migliori e trova risposte più utili.
Uno sguardo al futuro: la ISO 9001:2026
Un ultimo elemento di contesto che vale la pena considerare: la revisione della ISO 9001 è in fase avanzata e la pubblicazione della ISO 9001:2026 è prevista per il secondo semestre del 2026, con un periodo di transizione di circa tre anni. Le novità non rivoluzioneranno lo standard ma rafforzeranno aspetti come la cultura della qualità, il comportamento etico e il risk-based thinking. Motivo in più per curare la preparazione degli audit interni oggi: un sistema che funziona bene adesso avrà una transizione fluida domani.
Scarica la checklist e portala con te
Per rendere tutto questo immediatamente utilizzabile, ho preparato una checklist completa in formato Word che puoi scaricare, stampare, personalizzare e portare con te in ogni audit. Contiene tutte e sette le aree che abbiamo analizzato, con caselle di spunta, spazi per le note e i riferimenti documentali.
Checklist pre-audit interno ISO 9001
File Word strutturato con 7 sezioni, caselle di spunta e spazi per note.
Pronto da stampare e compilare.
Si tratta di uno strumento pensato per aiutarti a fare il lavoro prima dell'audit che è poi l'unico lavoro che fa davvero la differenza. Buon audit.
PER SAPERNE DI PIÙ:
Tutti gli articoli sugli audit Tutti gli articoli sulla ISO 9001