ISO 19011.

ISO 19011 è la norma di riferimento per le linee guida sull'audit dei sistemi di gestione. Generica, si applica indifferentemente agli audit ISO 27001, 9001 e 22301. Definisce i principi di audit, la gestione del programma di audit, il ciclo di audit e la competenza degli auditor. Il corso Lead Auditor la insegna; gli auditor che si incontrano sul campo sono stati formati su di essa.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

Il punto di vista di Cyber Academy

ISO 19011 è la norma di riferimento per le linee guida sull'audit dei sistemi di gestione. Generica, si applica indifferentemente agli audit ISO 27001, 9001 e 22301. Definisce i principi di audit, la gestione del programma di audit, il ciclo di audit e la competenza degli auditor. Il corso Lead Auditor la insegna; gli auditor che si incontrano sul campo sono stati formati su di essa.

Che cosa copre davvero la ISO 19011

La ISO 19011 è il documento di riferimento per chiunque pianifichi, conduca o gestisca audit di sistemi di gestione. È volutamente generica, così gli stessi principi si applicano sia che si auditi un sistema di gestione della sicurezza delle informazioni rispetto alla ISO 27001, un sistema qualità rispetto alla ISO 9001 o la continuità operativa rispetto alla ISO 22301. Anziché indicarvi i requisiti che un'organizzazione deve soddisfare, vi spiega come osservare quei requisiti in qualità di auditor : come costruire un programma di audit, come condurre un singolo audit dalla riunione di apertura a quella di chiusura, e come giudicare se le persone che svolgono l'audit sono competenti.

La norma organizza l'audit attorno a un piccolo insieme di principi. L'integrità e la presentazione imparziale mantengono onesti i rilievi. La dovuta diligenza professionale e la riservatezza tutelano le persone e le informazioni coinvolte. Un approccio basato sull'evidenza significa che le conclusioni si fondano su registrazioni e osservazioni verificabili, non su impressioni ; e il pensiero basato sul rischio aggiunto nelle revisioni recenti spinge gli auditor a concentrare l'impegno dove conta di più per gli obiettivi.

Programma di audit, ciclo dell'audit e competenza

Un modo utile di leggere la ISO 19011 è vederla come tre strati annidati. In cima si colloca il programma di audit, l'insieme degli audit pianificati in un periodo e la gestione di tale programma : definire gli obiettivi, assegnare le risorse, monitorare i risultati e migliorare nel tempo. Al suo interno si colloca il singolo audit e il suo ciclo :

  • Avviare l'audit e confermarne la fattibilità con l'organizzazione sottoposta ad audit.
  • Preparare le attività di audit, compresi il riesame documentale e il piano di audit.
  • Condurre l'audit in sede o da remoto : riunione di apertura, raccolta e verifica delle evidenze, generazione dei rilievi.
  • Redigere il rapporto, comprese le conclusioni e la riunione di chiusura.
  • Completare l'audit ed effettuare ogni eventuale follow-up sulle azioni correttive.

Il terzo strato è la competenza dell'auditor. La ISO 19011 presenta la competenza come una combinazione di comportamento personale, conoscenze e abilità generiche di audit e conoscenze specifiche di una disciplina, quindi descrive come valutarla e mantenerla. Per questo un professionista della sicurezza non può limitarsi a leggere la norma una sola volta. La competenza è qualcosa che si costruisce attraverso la formazione, l'osservazione di audit e la pratica continua.

Dove i professionisti la incontrano

In pratica si incontra la ISO 19011 in due ruoli. Come organizzazione sottoposta ad audit, essa spiega ciò che un auditor competente farà e non farà, il che aiuta a preparare le evidenze e a contestare rilievi poco solidi. Come auditor, interno o rivolto ai fornitori, è il manuale che si segue per rendere gli audit ripetibili e difendibili. Il corso Lead Auditor insegna questa norma insieme ai requisiti del sistema sottoposto ad audit, e gli auditor esterni che si incontrano durante la certificazione sono stati formati sullo stesso materiale.

Frequently asked questions

01La ISO 19011 è la stessa cosa della ISO/IEC 17021-1 ?

No. La ISO 19011 fornisce linee guida per auditare qualsiasi sistema di gestione, compresi gli audit di prima e di seconda parte. La ISO/IEC 17021-1 fissa i requisiti per gli organismi di certificazione che svolgono audit di certificazione di terza parte. Condividono concetti ma servono scopi diversi.

02La mia organizzazione può essere certificata ISO 19011 ?

No. È un documento di linee guida, non una norma di requisiti, quindi non c'è nulla rispetto a cui certificarsi. La si applica per condurre audit migliori e per sviluppare auditor competenti.

03La ISO 19011 si applica agli audit ISO 27001 ?

Sì. La ISO 19011 è generica e si applica agli audit di sicurezza delle informazioni tanto quanto agli audit di qualità o di continuità. Per un audit 27001 si combina il suo metodo di audit con i requisiti e i controlli specifici della norma di sicurezza.

04Chi deve conoscere la ISO 19011 ?

Gli auditor interni, gli auditor dei fornitori, i responsabili del programma di audit e chiunque prepari o ospiti un audit. Una certificazione Lead Auditor è costruita attorno ad essa.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.