L'audit(terminelatinoderivante daaudiō[1],"ascolto"; pronunciainglese,AFI:/ˈɔːdɪt/;) è una valutazione indipendente volta a ottenere prove, relativamente a un determinato oggetto e giudicarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno. Il concetto diauditpuò essere applicato a molte attività, come per esempio in sanità (si parla in questo caso di "audit clinico" ). Viene dettoauditor(o valutatore) la figura professionale che ha le caratteristiche personali e lacompetenzaper effettuare unaudit.Il termine va pronunciato alla Latina “Audit” e non all’inglese “Odit”.[1]

I terminiauditeauditorsono moltocodificati[2]e assumono significati diversi (nelle norme e regolamenti specifici) a seconda della precisa categoria di audit.

L'auditsi svolge generalmente sulla base di uncampionamentodi evidenze e pertanto ha un margine di errore dovuto al fatto che attesta un risultato complessivo a partire da un numero limitato di elementi selezionati. Questo è dovuto alla limitatezza delle risorse che si possono mettere a disposizione per unaudit[3].

Processo diaudit

modifica

L'audite la qualità

modifica
Lo stesso argomento in dettaglio:Sistemi di gestione.

Sono state le norme in tema digaranzia di qualitàa rendere diffuso e praticato il concetto diaudit.[4]

Per la norma italiana UNI ENISO 19011(Linee guida per gli audit dei sistemi di gestione) l'audit(precedentemente denominato "verifica ispettiva" ) è il:

  • processo[5]sistematico, indipendente e documentato per ottenere evidenze dell'audite valutarle con obiettività, al fine di stabilire in quale misura i criteri dell'auditsono stati soddisfatti.

La definizione diauditè quindi diversa dacollaudo,prova,controlli e verifiche in genere; soprattuttoauditnon èispezione.Perché una valutazione sia unaudit,occorre che siano rispettate scrupolosamente una serie di regole, per cui l'auditingè unprocessovero e proprio.[6]

Esistonoauditdi sistema, di processo, di progetto, di prodotto, di servizio.[7]I cosiddetti «auditaziendali» sono quelli che vengono svolti ad un sistema di gestione implementato in un'organizzazione che corrisponde ad un'azienda.

Il concetto diispezione(sia quello svolta da enti pubblici che da soggetti privati), termine spesso abusato e impiegato scorrettamente, è diverso da quello diaudit.

Di seguito una sintetica descrizione degli elementi principali che caratterizzano unaudit.

Gruppo di verifica

modifica

Il gruppo di verifica (GdV) o gruppo di audit o gruppo di verifica ispettiva (GVI) è la squadra (audit team) che esegue l'audit.È composta dal responsabile del gruppo di verifica ispettiva (RGVI) ovvero illead auditor(LA), dagliauditor(A o AVI - Addetto Verifica Ispettiva) ed, eventualmente, dagli osservatori (OSS) (tra i quali, quando è necessario, gli esperti tecnici di settore).

Obiettivi e criteri

modifica

Unauditdeve avere un obiettivo, che può essere:

  • verificare il grado di conformità (rispetto ad unanormao una procedura o uncapitolato,in generale una prescrizione relativa ad un oggetto) o di posizionamento (rispetto a dei criteri) internamente cioè da parte dall'organizzazione onde stabilire il proprio livello (si parla in questo caso di «autoverifica»);
  • qualificare unfornitoreal fine di utilizzarlo successivamente come fonte diapprovvigionamento;
  • rilasciare uncertificatodi conformità;
  • accertare l'efficacia di azioni correttive intraprese;
  • valutare materialmente un prodotto, un'apparecchiatura, un'opera per dichiararne l'adeguatezza e conformità e quindi svincolarla per scopi successivi (utilizzo, vendita, ecc.);
  • verificare un servizio o prima della messa in erogazione oppure per monitorarne i risultati quando già in corso di erogazione;
  • acquisire informazioni sul grado di competenza e consapevolezza di persone;
  • conseguire unrating(o unranking) rispetto ad una scala numerica assegnata, che fornisca lamisuraprecisa di una certa prestazione e innescare quindi un percorso di innalzamento del livello (questa è la classica metodologia dei programmi di miglioramento utilizzati dalle grandimultinazionaliper i lorostabilimentie fornitori nonché dei «premi qualità» nazionali e internazionali).

I criteri sono gli elementi rispetto ai quali l'auditor eseguirà la valutazione: in pratica, i requisiti da valutare nonché gli elementi per formulare il giudizio finale a partire dai risultati dell'audit(ovvero il confronto tra requisiti ed evidenze).

Piano, programma e procedura

modifica

Un singoloauditdeve esserepianificato:il relativo documento si chiama «piano diaudit». Un ciclo di variaudit,da svolgere in un arco temporale specificato, si chiama «programma diaudit». Deve essere determinato lo scopo dell'audit,il perimetro, il gruppo diaudit,le aree/argomenti auditati (identificando i relativi responsabili), il luogo, la data, gli aspetti oggetto di valutazione e i relativi referenti (questi quattro elementi, di fatto, corrispondono all'agenda di lavoro), i riferimenti ai requisiti diaudit,le esclusioni e altri dettagli minori. Requisiti diaudit,in pratica, significa riferimenti a: norme, leggi, capitolati,check list,regolamenti, precedenti risultati diaudit,eccetera. I riferimenti devono essere datati (edizione, revisione, versione, aggiornamento) altrimenti rimarrebbe un'ambiguità esecutiva perché non sarebbero collocabili nel tempo (i requisiti si modificano nel tempo).

L'auditdeve essere proceduralizzato nel senso che occorre determinare preventivamente come l'auditsi svolge, il suo campo di applicazione, le responsabilità, le modalità operative, eccetera. In favore dell'auditato, gli elementi oggetto di valutazione dovrebbero essergli preventivamente comunicati (ad esempio, ed è una classica modalità, mettendo a disposizione la lista di riscontro dell'audit).

Evidenze

modifica

Usando la definizione, molto generale, contenuta nella normaISO 9000,le evidenze sono «dati che supportano l'esistenza o la veridicità di qualcosa». Pertanto, possono essere:

  • documenti, informazioni, constatazioni, risultati di misurazioni e monitoraggi (nel caso diauditdi sistema o simili, come gliauditcontabili); anche i contenuti emersi in un'intervista o colloquio sono evidenze di audit;
  • materiali, prodotti, apparecchiature, opere (nel caso degliauditdi prodotto);
  • attività ovvero procedure/prassi/procedimenti nonché le infrastrutture (un magazzino, un reparto, un ufficio, un cantiere, ecc.) ove si svolgono (nel caso degliauditdi processo). Una situazione (oggettivamente identificata) è anch'essa un'evidenza (assenza o anomalia di un documento, disordine di un posto di lavoro, mancato superamento di una prova, indisponibilità di una persona, ecc.).

La significatività di unaudit(attendibilità dell'esito), al netto della capacità dell'auditor,è funzione del numero di evidenze ottenute e questo è un compromesso tra livello di campionamento e tempo a disposizione (budget).

Oggettività

modifica

L'auditordeve essere oggettivo, imparziale e soprattutto non deve avere conflitti di ruolo con l'oggetto dell'audit.In pratica, non deve avere responsabilità dirette con l'organizzazione o con il reparto/ufficio valutati. Una caratteristica spesso trascurata è la spiccata capacitàcomunicativa,digestione delle risorse umanecentrata sull'assertivitànonché l'abilità dipersuaderegrazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti. Questo a differenza delle caratteristiche di un ispettore che sono altre.

Rapporto

modifica

I risultati e l'esito complessivo dell'audit(conclusioni) devono essere documentati attraverso un rapporto diaudit.Eventuali anomalie (non conformità, punti deboli, osservazioni, raccomandazioni, ecc.) devono essere dettagliatamente precisate. Il rapporto deve contenere o richiamare le modalità per correggere le anomalie. Il rapporto (o relazione di audit) deve essere spiegato e consegnato all'auditato. Unauditordovrebbe aggiungere nel rapporto anche i punti di forza individuati; devono essere incluse eventuali annotazioni da parte dell'auditato.

Non è obbligatorio rilasciare anche le evidenze (checklistdiaudito simili) ma è sempre buona prassi farlo, in favore dell'auditato.

Gestione aziendale

modifica

Gliauditsono delle attività atte a misurare la conformità di determinati sistemi, processi, prodotti a determinate caratteristiche richieste e a verificarne l'applicazione. Esistono principalmente tre tipi diaudit:

Gliauditinterni sono delle verifiche effettuate direttamente dai soggetti interni all'azienda (o daconsulenti aziendaliincaricati allo scopo).

Gliauditdi seconda parte sono delle verifiche eseguite dai clienti nei confronti dei loro (potenziali o effettivi) fornitori. Per questa tipologia diauditle grandi aziende possono avvalersi, oltre che del proprio personale, di società di consulenza specializzate proprio in questobusiness.

Gliauditdi terza parte a differenza degliauditdi seconda parte, che comunque sono eseguiti da soggetti esterni all'azienda auditata, sono condotti daorganismi di certificazione(anche detti enti di certificazione) che al termine dell'attività, a fronte di un riscontro positivo rilasciano un apposito certificato di conformità.

Le tipologie di verifica comunemente usate sono generalmente le seguenti:

  • auditdi conformità (idoneità);
  • auditdi adeguatezza ed efficacia;
  • valutazione del livello delleperformancedell'organizzazione (nel senso quantitativo del termine).

Gliaudit,specialmente quelli dei sistemi di gestione (qualità,sicurezza,sicurezza informatica,ambiente,responsabilità sociale d'impresa,ecc.) sono uno strumento molto diffuso, in tutto il mondo, nell'ambito dellacertificazioneaziendale secondo le normeISO.Queste certificazioni impongono, oltre all'auditdi valutazione di terza parte eseguito dall'OdC,anche quelli interni (di prima parte) e obbligano o raccomandano quelli sui fornitori (di seconda parte).

Bilancio e contabilità

modifica

L'auditcontabile[8]è una valutazione spesso ricorrente neibilanciaziendali.L'obiettivo è quello di dichiarare la conformità procedurale e la veridicità dei dati risultanti dalle scritture. Oltre a poter essere svolto internamente (ovvero dal personale dell'azienda o da consulenti per proprio conto), gliauditvalidi per la cosiddetta «certificazione di bilancio» sono svolti da soggetti qualificati che si chiamanorevisori legali.La riforma introdotta dal Dlgs n. 39/2010 ha introdotto la nuova definizione ufficiale direvisore legale,che ha sostituito quella precedentemente in uso direvisore contabile.Pertanto i professionisti che operano la revisione contabile si devono qualificare come revisori legali.

Come per qualsiasiaudit(che si basa su un campionamento) anche l'esito positivo di unauditcontabile non certifica automaticamente la veridicità assoluta di qualsiasi posta di un bilancio (come peraltro sottolineato in qualsiasi dichiarazione rilasciata da una società di revisione).

Sicurezza informatica

modifica

Nellasicurezza informatical'auditè la valutazione strumentale, eseguita da specificisoftwareo da strumenti dei sistemi operativi, di conformità delle impostazioni di sicurezza informatica oppure dei risultati di utilizzo dei sistemi o risorse nonché la registrazione delle operazioni eseguite dagli utenti (audit log). Queste operazioni sono cosa diversa dagli audit ai sistemi di gestione della sicurezza delle informazioni (che sono valutazioni eseguite da persone).

  1. ^abStoria e pronuncia del termine audit - Consulenza Linguistica - Accademia della Crusca,suaccademiadellacrusca.it.URL consultato il 27 novembre 2024.
  2. ^Ad esempio vi sono svariate norme ISO sugliaudite sugliauditorche, pur ricalcando simili concetti, hanno peculiarità diverse a seconda della tematica in oggetto.
  3. ^In teoria, l'organizzazione potrebbe stabilire che l'auditsia eseguito sulla totalità delle evidenze disponibili (100%): è solo questione di risorse.
  4. ^Come spiegava una nota dell'edizione precedente della norma ISO 19011 il termineauditche deriva dal latino ed è entrato a far parte della lingua nazionale, può, a seconda delle circostanze, assumere il significato di "verifica ispettiva" o di "valutazione". Anche se poi il mondo anglosassone ha fatto proprio il termine latino pronunciandolo all'inglese, potrebbe essere correttamente pronunciato alla latina.
  5. ^Il fatto che si utilizzi il termine processo deriva dalla traduzione in italiano (norma UNI) del testo inglese (norma ISO): nella norma originaria, infatti, si utilizza il termineauditingper designare il processo.
  6. ^Spesso, si fa confusione tra il termineaudite il termineauditing.L'auditingè il processo che ha comeoutputunaudit.Perciò, nel dispiegamento temporale dell'auditing,si hanno variaudit.Comunque, ai fini pratici e non specialistico-formali, si possono assimilare.
  7. ^Esistono alcune norme internazionali di assicurazione qualità (e, ovviamente, delle prescrizioni in uso in alcuni settori da parte della grande committenza privata nonché per regolamentazioni pubbliche) che obbligano i fornitori a svolgere oltre agliauditdi sistema anche gliauditdi processo (produzione) e/oauditdi prodotto.
  8. ^Impropriamente denominato, a volte, «auditeconomico-finanziario». Improprio, in quanto questo termine fa credere che l'auditcontabile entri nel merito della posizione economica-finanziaria dell'organizzazione auditata; invece, la certificazione di bilancio attesta "solo" che le procedure e le norme contabili sono state implementate correttamente (oltretutto, sulla base di un campionamento, come per tutti gliaudit).

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
  • Audit Civico,sucittadinanzattiva.it.URL consultato l'8 gennaio 2011(archiviato dall'url originaleil 5 aprile 2010).
Controllo di autoritàLCCN(EN)sh85009477·J9U(EN,HE)987007295861605171