L'audit (termine inglese, AFI: /ˈɔːdɪt/; dal latino audiō, "ascolto") è una valutazione indipendente volta a ottenere prove, relativamente a un determinato oggetto, e giudicarle e con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno. Il concetto di audit può essere applicato a molte attività, come per esempio in sanità (si parla in questo caso di "audit clinico"). Viene detto auditor (o valutatore) la figura professionale che ha le caratteristiche personali e la competenza per effettuare un audit.

I termini audit e auditor sono molto codificati[1] e assumono significati diversi (nelle norme e regolamenti specifici) a seconda della precisa categoria di audit.

L'audit si svolge generalmente sulla base di un campionamento di evidenze e pertanto ha un margine di errore dovuto al fatto che attesta un risultato complessivo a partire da un numero limitato di elementi selezionati. Questo è dovuto alla limitatezza delle risorse che si possono mettere a disposizione per un audit[2].

Processo di audit

modifica

L'audit e la qualità

modifica
  Lo stesso argomento in dettaglio: Sistemi di gestione.

Sono state le norme in tema di garanzia di qualità a rendere diffuso e praticato il concetto di audit.[3]

Per la norma italiana UNI EN ISO 19011 (Linee guida per gli audit dei sistemi di gestione) l'audit (precedentemente denominato "verifica ispettiva") è il:

  • processo[4] sistematico, indipendente e documentato per ottenere evidenze dell'audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell'audit sono stati soddisfatti.

La definizione di audit è quindi diversa da collaudo, prova, controlli e verifiche in genere; soprattutto audit non è ispezione. Perché una valutazione sia un audit, occorre che siano rispettate scrupolosamente una serie di regole, per cui l'auditing è un processo vero e proprio.[5]

Esistono audit di sistema, di processo, di progetto, di prodotto, di servizio.[6] I cosiddetti «audit aziendali» sono quelli che vengono svolti ad un sistema di gestione implementato in un'organizzazione che corrisponde ad un'azienda.

Il concetto di ispezione (sia quello svolta da enti pubblici che da soggetti privati), termine spesso abusato e impiegato scorrettamente, è diverso da quello di audit.

Di seguito una sintetica descrizione degli elementi principali che caratterizzano un audit.

Gruppo di verifica

modifica

Il gruppo di verifica (GdV) o gruppo di audit o gruppo di verifica ispettiva (GVI) è la squadra (audit team) che esegue l'audit. È composta dal responsabile del gruppo di verifica ispettiva (RGVI) ovvero il lead auditor (LA) , dagli auditor (A o AVI - Addetto Verifica Ispettiva) ed, eventualmente, dagli osservatori (OSS) (tra i quali, quando è necessario, gli esperti tecnici di settore).

Obiettivi e criteri

modifica

Un audit deve avere un obiettivo, che può essere:

  • verificare il grado di conformità (rispetto ad una norma o una procedura o un capitolato, in generale una prescrizione relativa ad un oggetto) o di posizionamento (rispetto a dei criteri) internamente cioè da parte dall'organizzazione onde stabilire il proprio livello (si parla in questo caso di «autoverifica»);
  • qualificare un fornitore al fine di utilizzarlo successivamente come fonte di approvvigionamento;
  • rilasciare un certificato di conformità;
  • accertare l'efficacia di azioni correttive intraprese;
  • valutare materialmente un prodotto, un'apparecchiatura, un'opera per dichiararne l'adeguatezza e conformità e quindi svincolarla per scopi successivi (utilizzo, vendita, ecc.);
  • verificare un servizio o prima della messa in erogazione oppure per monitorarne i risultati quando già in corso di erogazione;
  • acquisire informazioni sul grado di competenza e consapevolezza di persone;
  • conseguire un rating (o un ranking) rispetto ad una scala numerica assegnata, che fornisca la misura precisa di una certa prestazione e innescare quindi un percorso di innalzamento del livello (questa è la classica metodologia dei programmi di miglioramento utilizzati dalle grandi multinazionali per i loro stabilimenti e fornitori nonché dei «premi qualità» nazionali e internazionali).

I criteri sono gli elementi rispetto ai quali l'auditor eseguirà la valutazione: in pratica, i requisiti da valutare nonché gli elementi per formulare il giudizio finale a partire dai risultati dell'audit (ovvero il confronto tra requisiti ed evidenze).

Piano, programma e procedura

modifica

Un singolo audit deve essere pianificato: il relativo documento si chiama «piano di audit». Un ciclo di vari audit, da svolgere in un arco temporale specificato, si chiama «programma di audit». Deve essere determinato lo scopo dell'audit, il perimetro, il gruppo di audit, le aree/argomenti auditati (identificando i relativi responsabili), il luogo, la data, gli aspetti oggetto di valutazione e i relativi referenti (questi quattro elementi, di fatto, corrispondono all'agenda di lavoro), i riferimenti ai requisiti di audit, le esclusioni e altri dettagli minori. Requisiti di audit, in pratica, significa riferimenti a: norme, leggi, capitolati, check list, regolamenti, precedenti risultati di audit, eccetera. I riferimenti devono essere datati (edizione, revisione, versione, aggiornamento) altrimenti rimarrebbe un'ambiguità esecutiva perché non sarebbero collocabili nel tempo (i requisiti si modificano nel tempo).

L'audit deve essere proceduralizzato nel senso che occorre determinare preventivamente come l'audit si svolge, il suo campo di applicazione, le responsabilità, le modalità operative, eccetera. In favore dell'auditato, gli elementi oggetto di valutazione dovrebbero essergli preventivamente comunicati (ad esempio, ed è una classica modalità, mettendo a disposizione la lista di riscontro dell'audit).

Evidenze

modifica

Usando la definizione, molto generale, contenuta nella norma ISO 9000, le evidenze sono «dati che supportano l'esistenza o la veridicità di qualcosa». Pertanto, possono essere:

  • documenti, informazioni, constatazioni, risultati di misurazioni e monitoraggi (nel caso di audit di sistema o simili, come gli audit contabili); anche i contenuti emersi in un'intervista o colloquio sono evidenze di audit;
  • materiali, prodotti, apparecchiature, opere (nel caso degli audit di prodotto);
  • attività ovvero procedure/prassi/procedimenti nonché le infrastrutture (un magazzino, un reparto, un ufficio, un cantiere, ecc.) ove si svolgono (nel caso degli audit di processo). Una situazione (oggettivamente identificata) è anch'essa un'evidenza (assenza o anomalia di un documento, disordine di un posto di lavoro, mancato superamento di una prova, indisponibilità di una persona, ecc.).

La significatività di un audit (attendibilità dell'esito), al netto della capacità dell'auditor, è funzione del numero di evidenze ottenute e questo è un compromesso tra livello di campionamento e tempo a disposizione (budget).

Oggettività

modifica

L'auditor deve essere oggettivo, imparziale e soprattutto non deve avere conflitti di ruolo con l'oggetto dell'audit. In pratica, non deve avere responsabilità dirette con l'organizzazione o con il reparto/ufficio valutati. Una caratteristica spesso trascurata è la spiccata capacità comunicativa, di gestione delle risorse umane centrata sull'assertività nonché l'abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti. Questo a differenza delle caratteristiche di un ispettore che sono altre.

Rapporto

modifica

I risultati e l'esito complessivo dell'audit (conclusioni) devono essere documentati attraverso un rapporto di audit. Eventuali anomalie (non conformità, punti deboli, osservazioni, raccomandazioni, ecc.) devono essere dettagliatamente precisate. Il rapporto deve contenere o richiamare le modalità per correggere le anomalie. Il rapporto (o relazione di audit) deve essere spiegato e consegnato all'auditato. Un auditor dovrebbe aggiungere nel rapporto anche i punti di forza individuati; devono essere incluse eventuali annotazioni da parte dell'auditato.

Non è obbligatorio rilasciare anche le evidenze (checklist di audit o simili) ma è sempre buona prassi farlo, in favore dell'auditato.

Gestione aziendale

modifica

Gli audit sono delle attività atte a misurare la conformità di determinati sistemi, processi, prodotti a determinate caratteristiche richieste e a verificarne l'applicazione. Esistono principalmente tre tipi di audit:

Gli audit interni sono delle verifiche effettuate direttamente dai soggetti interni all'azienda (o da consulenti aziendali incaricati allo scopo).

Gli audit di seconda parte sono delle verifiche eseguite dai clienti nei confronti dei loro (potenziali o effettivi) fornitori. Per questa tipologia di audit le grandi aziende possono avvalersi, oltre che del proprio personale, di società di consulenza specializzate proprio in questo business.

Gli audit di terza parte a differenza degli audit di seconda parte, che comunque sono eseguiti da soggetti esterni all'azienda auditata, sono condotti da organismi di certificazione (anche detti enti di certificazione) che al termine dell'attività, a fronte di un riscontro positivo rilasciano un apposito certificato di conformità.

Le tipologie di verifica comunemente usate sono generalmente le seguenti:

  • audit di conformità (idoneità);
  • audit di adeguatezza ed efficacia;
  • valutazione del livello delle performance dell'organizzazione (nel senso quantitativo del termine).

Gli audit, specialmente quelli dei sistemi di gestione (qualità, sicurezza, sicurezza informatica, ambiente, responsabilità sociale d'impresa, ecc.) sono uno strumento molto diffuso, in tutto il mondo, nell'ambito della certificazione aziendale secondo le norme ISO. Queste certificazioni impongono, oltre all'audit di valutazione di terza parte eseguito dall'OdC, anche quelli interni (di prima parte) e obbligano o raccomandano quelli sui fornitori (di seconda parte).

Bilancio e contabilità

modifica

L'audit contabile[7] è una valutazione spesso ricorrente nei bilanci aziendali. L'obiettivo è quello di dichiarare la conformità procedurale e la veridicità dei dati risultanti dalle scritture. Oltre a poter essere svolto internamente (ovvero dal personale dell'azienda o da consulenti per proprio conto), gli audit validi per la cosiddetta «certificazione di bilancio» sono svolti da soggetti qualificati che si chiamano revisori legali. La riforma introdotta dal Dlgs n. 39/2010 ha introdotto la nuova definizione ufficiale di revisore legale, che ha sostituito quella precedentemente in uso di revisore contabile. Pertanto i professionisti che operano la revisione contabile si devono qualificare come revisori legali.

Come per qualsiasi audit (che si basa su un campionamento) anche l'esito positivo di un audit contabile non certifica automaticamente la veridicità assoluta di qualsiasi posta di un bilancio (come peraltro sottolineato in qualsiasi dichiarazione rilasciata da una società di revisione).

Sicurezza informatica

modifica

Nella sicurezza informatica l'audit è la valutazione strumentale, eseguita da specifici software o da strumenti dei sistemi operativi, di conformità delle impostazioni di sicurezza informatica oppure dei risultati di utilizzo dei sistemi o risorse nonché la registrazione delle operazioni eseguite dagli utenti (audit log). Queste operazioni sono cosa diversa dagli audit ai sistemi di gestione della sicurezza delle informazioni (che sono valutazioni eseguite da persone).

  1. ^ Ad esempio vi sono svariate norme ISO sugli audit e sugli auditor che, pur ricalcando simili concetti, hanno peculiarità diverse a seconda della tematica in oggetto.
  2. ^ In teoria, l'organizzazione potrebbe stabilire che l'audit sia eseguito sulla totalità delle evidenze disponibili (100%): è solo questione di risorse.
  3. ^ Come spiegava una nota dell'edizione precedente della norma ISO 19011 il termine audit che deriva dal latino ed è entrato a far parte della lingua nazionale, può, a seconda delle circostanze, assumere il significato di "verifica ispettiva" o di "valutazione". Anche se poi il mondo anglosassone ha fatto proprio il termine latino pronunciandolo all'inglese, potrebbe essere correttamente pronunciato alla latina.
  4. ^ Il fatto che si utilizzi il termine processo deriva dalla traduzione in italiano (norma UNI) del testo inglese (norma ISO): nella norma originaria, infatti, si utilizza il termine auditing per designare il processo.
  5. ^ Spesso, si fa confusione tra il termine audit e il termine auditing. L'auditing è il processo che ha come output un audit. Perciò, nel dispiegamento temporale dell'auditing, si hanno vari audit. Comunque, ai fini pratici e non specialistico-formali, si possono assimilare.
  6. ^ Esistono alcune norme internazionali di assicurazione qualità (e, ovviamente, delle prescrizioni in uso in alcuni settori da parte della grande committenza privata nonché per regolamentazioni pubbliche) che obbligano i fornitori a svolgere oltre agli audit di sistema anche gli audit di processo (produzione) e/o audit di prodotto.
  7. ^ Impropriamente denominato, a volte, «audit economico-finanziario». Improprio, in quanto questo termine fa credere che l'audit contabile entri nel merito della posizione economica-finanziaria dell'organizzazione auditata; invece, la certificazione di bilancio attesta "solo" che le procedure e le norme contabili sono state implementate correttamente (oltretutto, sulla base di un campionamento, come per tutti gli audit).

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
  • Audit Civico, su cittadinanzattiva.it. URL consultato l'8 gennaio 2011 (archiviato dall'url originale il 5 aprile 2010).
Controllo di autoritàLCCN (ENsh85009477 · J9U (ENHE987007295861605171