Il punto di vista di Cyber Academy
Una non conformità è la constatazione, da parte del valutatore, che un requisito non è soddisfatto. Le NC maggiori mettono a rischio la certificazione; le NC minori richiedono un piano d'azione correttivo con scadenza definita. NC minori ripetute nella stessa area possono essere elevate a maggiori nel successivo audit di sorveglianza. L'obiettivo non è zero NC: è un'azione correttiva onesta e tracciabile.
Cosa è davvero una non conformità
Una non conformità registra uno scarto tra ciò che un requisito richiede e ciò che un auditor può constatare nella pratica. Il requisito può derivare dalla norma stessa (per esempio una clausola della ISO/IEC 27001), da un controllo che avete dichiarato applicabile nella vostra Dichiarazione di Applicabilità, o dalla vostra stessa politica documentata. Se l'avete scritto e vi siete impegnati a rispettarlo, un auditor può esigerne il rispetto. Quest'ultimo punto coglie i team di sorpresa: promettere troppo in una politica crea non conformità che la norma da sola non avrebbe mai generato.
Una non conformità non è la stessa cosa di un'osservazione o di un'opportunità di miglioramento. Un'osservazione segnala qualcosa che l'auditor vuole mettere agli atti senza affermare che un requisito è violato. Una non conformità è un'affermazione definitiva che un requisito non è soddisfatto, supportata da evidenze oggettive come una registrazione, un colloquio o un artefatto mancante. La distinzione conta perché solo le non conformità impongono una risposta formale.
Maggiore o minore, e come le minori si aggravano
Gli auditor classificano i rilievi in base all'impatto sul sistema di gestione, non in base a quanto li infastidiscono. Una non conformità maggiore significa che un requisito è fondamentalmente assente, oppure che una carenza è abbastanza diffusa da minare la fiducia nel funzionamento del sistema. Le maggiori mettono a rischio la decisione di certificazione e di solito devono essere chiuse prima che la certificazione o la ricertificazione possa procedere. Una non conformità minore è una mancanza isolata in un processo per il resto funzionante: una singola revisione mancante, una registrazione non firmata.
La trappola è considerare le minori come innocue. Lo stesso rilievo minore nella stessa area, audit dopo audit, dice all'auditor che la vostra azione correttiva non ha mai risolto la causa radice. All'audit di sorveglianza successivo quello schema può essere riclassificato come maggiore, perché un controllo che continua a fallire nello stesso modo non sta effettivamente operando.
| Aspetto | NC minore | NC maggiore |
|---|---|---|
| Ambito | Mancanza isolata e circoscritta | Assenza sistemica o totale di un requisito |
| Effetto sul certificato | Il certificato di norma procede | Può bloccare o sospendere la certificazione |
| Risposta richiesta | Piano di azione correttiva con una scadenza | Spesso correzione più riverifica in loco o tramite evidenze |
| Se ripetuta | Può aggravarsi in maggiore la prossima volta | Già al vertice della scala |
Cosa ne fanno davvero i professionisti
Chiudere bene una non conformità è un processo, non una scusa. Lo schema riconosciuto è correzione, poi azione correttiva, poi verifica dell'efficacia. La correzione è il rimedio immediato al caso specifico che l'auditor ha trovato. L'azione correttiva è la mossa più profonda: un'analisi della causa radice che spiega perché lo scarto esisteva e un cambiamento che ne impedisce il ripetersi. La verifica conferma, con evidenze e dopo che è trascorso tempo sufficiente, che il cambiamento ha effettivamente tenuto.
Ciascuno di questi elementi appartiene a un piano di azione correttiva con un responsabile e una scadenza realistica concordata con l'auditor. Le evidenze che presentate dovrebbero permettere a qualcuno che non era nella stanza di ricostruire ciò che è accaduto e confermare che è chiuso. È qui che l'onestà ripaga: un auditor preferisce vedere un piccolo numero di azioni correttive ben tracciate piuttosto che un report dall'aspetto pulito che non regge all'esame.
Frequently asked questions
01Qual è la differenza tra una non conformità e un'osservazione?
Un'osservazione annota qualcosa che merita di essere registrato senza affermare che un requisito è violato. Una non conformità è un rilievo definitivo, supportato da evidenze oggettive, che un requisito non è soddisfatto e che pertanto richiede un'azione correttiva formale.
02Una non conformità minore ci impedirà di ottenere la certificazione?
Di solito non da sola. La certificazione di norma procede una volta che presentate un piano di azione correttiva accettato con una scadenza. La non conformità maggiore è quella che può bloccare o sospendere il certificato.
03Una non conformità minore può diventare maggiore?
Sì. Lo stesso rilievo minore che si ripresenta nella stessa area da un audit all'altro segnala che la vostra azione correttiva non ha mai raggiunto la causa radice, perciò l'auditor può riclassificarla come maggiore all'audit di sorveglianza successivo.
04Cosa serve per chiudere una non conformità?
La correzione del caso specifico, un'azione correttiva che affronta la causa radice in modo che non si ripeta, e la verifica con evidenze che il rimedio ha effettivamente tenuto. Tutti e tre confluiscono in un piano di azione correttiva con un responsabile e una scadenza.
05Dovremmo puntare a zero non conformità?
No. Un piccolo numero di rilievi identificati onestamente, ciascuno con un'azione correttiva tracciabile, è un segnale più sano di un report immacolato. Zero rilievi spesso significa che il sistema non viene messo genuinamente alla prova.