SUPSI 10 dicembre 2019 - slide presentate da Gaetano Spera I sistemi di gestione certificati a garanzia del cliente

1. SUPSI
10.12.2019 1

2. SOMMARIO
2
 Gli enti di Normazione
 Basi normative

3. SIAMO VERAMENTE APERTI AL
CAMBIAMENTO?
3

4. IL VALORE AGGIUNTO DEI CONTROLLI
AFFIDATI AD ENTE TERZO
 Imparzialità nella gestione tecnico-operativa
del processo di verifica e controllo e delle
relative attività di campionamento e quindi
l’uniformità di trattamento dei soggetti
interessati ai controlli
 Indipendenza nell’attività di verifica e controllo
e quindi l’assenza di conflitti di interesse
 Competenza culturale, tecnica e professionale
del personale addetto all’attività di verifica e
controllo
4

5. IMPARZIALITÀ ED INDIPENDENZA
 I riferimenti normativi :
 la norma UNI CEI ISO/IEC UNI CEI EN ISO/IEC 17021-
1:2015 “Valutazione della conformità - Requisiti per gli
organismi che forniscono audit e certificazione di sistemi
di gestione - Parte 1: Requisiti ” è stata assunta come
riferimento per la definizione del sistema di regole per la
gestione delle verifiche e dei controlli
 la norma UNI CEI ISO/IEC 17020:2012 “Criteri generali per
il funzionamento dei vari tipi di organismi che effettuano
attività di ispezione” è stata assunta come riferimento per
la definizione del sistema di regole per la gestione delle
verifiche e dei controlli
 la norma UNI EN ISO 19011:2018 “Guidelines for auditing
management systems ” è assunta come riferimento per le
tecniche di conduzione delle attività di verifica e la
formazione dei valutatori
5

6. 6

7. 7

8. ACCREDITAMENTO DEL PERSONALE
 Requisiti specifici applicabili per
l'accreditamento degli Organismi di
certificazione del personale:
 Tali requisiti sono fissati dalla norma ISO/IEC 17024
Valutazione della conformità - Requisiti generali per
organismi che eseguono la certificazione di persone.
 La norma è stata elaborata come quadro di
riferimento accettato a livello internazionale per le
organizzazioni che certificano le persone. La funzione
dell'Organismo di certificazione di persone consiste
nell'effettuare esami che utilizzino criteri oggettivi
per valutare la competenza e per attribuire i
punteggi.
La norma internazionale è utilizzata come documento
contenente criteri per l'accreditamento 8

9. LINEA DI ACCREDITAMENTO
 SAS, accreditamento organismi di certificazione;
qui si trova una banca dati delle certificazioni e
degli organismi di certificazione accreditati in
Svizzera.
 EA - European Accreditation, network europeo
per l'accreditamento
 IAF - International Accreditation Forum,
network internazionale per l'accreditamento
 SAI - Social Accountability International,
accreditamento della certificazione etica
 Accordi MLA – Mutuo Riconoscimento
9

10. ACCORDI DI MUTUO RICONOSCIMENTO
10

11. 11
ISO/IEC 17011 CONFORMITY ASSESSMENT -- GENERAL
REQUIREMENTS FOR ACCREDITATION BODIES ACCREDITING CONFORMITY
ASSESSMENT BODIES

12. ORGANISMI DI NORMAZIONE
Organismo che svolge attività normativa, riconosciuto a livello
nazionale o internazionale, la cui principale funzione, in
applicazione del proprio statuto, è la preparazione, l’approvazione
o il recepimento di norme pubblicamente disponibili
12
Mondo
ISO
Europa
CEN
Italia
UNI
Svizzera
SNV

13. UN VIDEO CHE FA RIFLETTERE
13
https://www.wired.com/video/watch/hackers-
wireless-jeep-attack-stranded-me-on-a-highway/

14. BASE NORMATIVA
 ISO/IEC 20000 SGS.IT (Sistemi di Gestione per i
Servizi IT) è lo standard di riferimento, nato nel 2005,
per la Gestione dei Servizi Informatici, a livello
internazionale. Tutte le aziende che si conformano a
tale standard certificano di possedere una serie di
requisiti nell'erogazione e nella fruizione dei servizi
IT.
 ISO/IEC 20000 è quindi il primo standard per l'IT
Service Management, riconosciuto e certificabile su
scala mondiale: è diviso in due sezioni:
 20000-1 Specification, arrivata alla versione 2011,
basata sui processi necessari per ottenere la
certificazione
 20000-2 Code of Practice, dedicata alle best practices. 14

15. LA FAMIGLIA 27001
15

16. ISO/IEC 17021-1:2015
 La norma ISO/IEC 17021-1:2015 è invece la norma di riferimento per
l’accreditamento degli OdC.
 Uno dei requisiti specifici è la pianificazione dell’audit di prima
certificazione in una Fase 1 e una Fase 2, con caratteristiche ben
distinte.
 Il punto 7.1 Competenza del personale rimanda all’Appendice A (per
auditor di norme di Sistema di Gestione e altro personale che effettua il
riesame dei rapporti di audit e prende decisioni in materia di certificazione.
Anche qui troviamo la descrizione delle competenze richieste in modo
generale, senza riferimenti ad uno Schema specifico, vi è un richiamo
però alle norme della serie ISO/IEC o ISO/IEC TS 17021-X per le
competenze specifiche di Schema (vedi Tabella 1 Competenze), e nella
nota definisce il concetto di Area tecnica:
 “……
 I criteri di competenza devono essere determinati con riferimento ai
requisiti di ogni tipo di norma o specifica di sistema di gestione, per
ogni area tecnica e per ogni funzione nel processo di certificazione.
 …….
 Nei casi in cui, per una specifica norma o schema di certificazione
(per esempio, ISO/IEC TS 17021-2, ISO/IEC TS 17021-3…) siano
stati stabiliti criteri specifici di competenza aggiuntivi, questi devono
essere applicati. 16

17. 17
 ISO/IEC 17021-1:2015
 4 PRINCIPI
 5 REQUISITI GENERALI
 6 REQUISITI STRUTTURALI
 7 REQUISITI PER LE RISORSE
 8 REQUISITI RELATIVI ALLE INFORMAZIONI 9
REQUISITI DI PROCESSO
 9.1 Attività di pre-certificazione
 9.1.1 Domanda (di certificazione)
 9.1.2 Riesame della domanda
 9.1.3 Programma di audit
 9.1.4 Determinazione del tempo complessivo
dell’audit
 9.1.5 Campionamento multi-sito
 9.1.6 Norme di sistemi di gestione multiple
 9.2 Pianificazione degli audit
 9.2.1 Determinazione degli obiettivi, del campo di
applicazione e dei criteri di audit
 9.2.2 Selezione e assegnazione del gruppo di audit
 9.2.3 Piano di audit
 9.3 Certificazione iniziale
 9.4 Conduzione degli audit
 9.4.1 Generalità
 9.4.2 Conduzione della riunione iniziale
 9.4.3 Comunicazione nel corso dell’audit
 9.4.4 Ottenimento e verifica delle informazioni 9.4.5
Identificazione e registrazione delle
 risultanze dell’audit
 9.4.6 Elaborazione delle conclusioni dell’audit 9.4.7
Conduzione della riunione di chiusura 9.4.8 Rapporto di
audit
 9.4.9 Analisi delle cause delle non conformità 9.4.10
Efficacia delle correzioni e delle azioni correttive

18. 18
I titoli in grassetto sono comuni.
I titoli in rosso sono tipici della ISO/IEC
17021-1:2015 (Audit di 3 parte).
I titoli in verde sono una guida in
appendice alla ISO 19011:2018 utile per
Auditor di 1 , 2 e 3 parte.

19. 19
ISO/IEC 17021-1:2015
APPENDICE A CONOSCENZE E ABILITÀ
RICHIESTE
ISO 19011:2018
APPENDICE B POSSIBILI METODI DI
VALUTAZIONE
APPENDICE C ESEMPIO DI UNO SCHEMA DI
PROCESSO PER DETERMINARE E
MANTENERE LA COMPETENZA
7 COMPETENZA E VALUTAZIONE DEGLI AUDITOR
APPENDICE D COMPORTAMENTI
PERSONALI ATTESI
APPENDICE E PROCESSO DI AUDIT E
CERTIFICAZIONE
APPENDICE A GUIDA AGGIUNTIVA PER GLI
AUDITOR PER LA PIANIFICAZIONE E LA
CONDUZIONE DEGLI AUDIT
A.1 Applicazione dei metodi di audit
A.2 Approccio per processi nell’attività di audit
A.3 Giudizio professionale
A.4 Risultati di prestazione
A.5 Verifica delle informazioni
A.6 Campionamento
A.7 Audit di conformità (compliance) nell'ambito di un
sistema di gestione
A.8 Audit del contesto
A.9 Audit della leadership e dell'impegno
A.10 Audit dei rischi e opportunità
A.11 Ciclo di vita
A.12 Audit della catena di fornitura
A.13 Preparazione dei documenti di lavoro relativi
all’audit
A.14 Selezione delle fonti di informazione
A.15 Visita del sito dell'organizzazione oggetto
dell'audit
A.16 Audit di attività e siti virtuali
A.17 Conduzione delle interviste
A.18 Risultanze dell'audit

20. PRINCIPI DELL’ATTIVITÀ DI AUDIT
RISERVATEZZA: «sicurezza delle informazioni»
Gli auditor dovrebbero agire con discrezione nell’utilizzo e
nella protezione delle informazioni acquisite nel corso
dei loro compiti. Le informazioni relative all’audit non
dovrebbero essere utilizzate impropriamente per vantaggi
personali da parte dell’auditor o del committente
dell’audit, o in modo che possa danneggiare gli interessi
legittimi dell’organizzazione oggetto dell’audit. Questo
concetto comprende il corretto trattamento delle
informazioni sensibili o riservate.
Gli altri principi dell’attività di audit sono:
INTEGRITÀ, PRESENTAZIONE IMPARZIALE,
PROFESSIONALITÀ, INDIPENDENZA,
APPROCCIO BASATO SULL’EVIDENZA

21. 21
CARATTERISTICHE PERSONALI
DELL’AUDITOR

22. GDPR/27001

23. L’ART. 42 ASSOLTO DALL’IMPLEMENTAZIONE
DELLA ISO/IEC 27001.
23
- ISDP10003: Data Protection Certification
- EuroPriSe ("European Privacy Seal") è un certificato del settore
privato tedesco per prodotti IT conformi alla privacy e servizi basati
sull'IT basati sulla legge europea sulla protezione dei dati.

24. LA NORMA 17065
 La norma ISO/IEC 17065 rappresenta la
naturale evoluzione del precedente documento
normativo ISO Guide 65 (diffusa in Europa come
EN 45011) regolante i requisiti per gli Organismi
di certificazione di prodotti, processi e servizi.
24

25. Grazie
 Gaetano Spera
www.svgroupcert.ch
Mobile: +41 079 190 1212
25