Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

03A quadro normativo di riferimento

SUPSI 10 dicembre 2019 - slide presentate da Gaetano Spera
I sistemi di gestione certificati a garanzia del cliente

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

  • Be the first to like this

03A quadro normativo di riferimento

  1. 1. SUPSI 10.12.2019 1
  2. 2. SOMMARIO 2  Gli enti di Normazione  Basi normative
  3. 3. SIAMO VERAMENTE APERTI AL CAMBIAMENTO? 3
  4. 4. IL VALORE AGGIUNTO DEI CONTROLLI AFFIDATI AD ENTE TERZO  Imparzialità nella gestione tecnico-operativa del processo di verifica e controllo e delle relative attività di campionamento e quindi l’uniformità di trattamento dei soggetti interessati ai controlli  Indipendenza nell’attività di verifica e controllo e quindi l’assenza di conflitti di interesse  Competenza culturale, tecnica e professionale del personale addetto all’attività di verifica e controllo 4
  5. 5. IMPARZIALITÀ ED INDIPENDENZA  I riferimenti normativi :  la norma UNI CEI ISO/IEC UNI CEI EN ISO/IEC 17021- 1:2015 “Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione - Parte 1: Requisiti ” è stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli  la norma UNI CEI ISO/IEC 17020:2012 “Criteri generali per il funzionamento dei vari tipi di organismi che effettuano attività di ispezione” è stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli  la norma UNI EN ISO 19011:2018 “Guidelines for auditing management systems ” è assunta come riferimento per le tecniche di conduzione delle attività di verifica e la formazione dei valutatori 5
  6. 6. 6
  7. 7. 7
  8. 8. ACCREDITAMENTO DEL PERSONALE  Requisiti specifici applicabili per l'accreditamento degli Organismi di certificazione del personale:  Tali requisiti sono fissati dalla norma ISO/IEC 17024 Valutazione della conformità - Requisiti generali per organismi che eseguono la certificazione di persone.  La norma è stata elaborata come quadro di riferimento accettato a livello internazionale per le organizzazioni che certificano le persone. La funzione dell'Organismo di certificazione di persone consiste nell'effettuare esami che utilizzino criteri oggettivi per valutare la competenza e per attribuire i punteggi. La norma internazionale è utilizzata come documento contenente criteri per l'accreditamento 8
  9. 9. LINEA DI ACCREDITAMENTO  SAS, accreditamento organismi di certificazione; qui si trova una banca dati delle certificazioni e degli organismi di certificazione accreditati in Svizzera.  EA - European Accreditation, network europeo per l'accreditamento  IAF - International Accreditation Forum, network internazionale per l'accreditamento  SAI - Social Accountability International, accreditamento della certificazione etica  Accordi MLA – Mutuo Riconoscimento 9
  10. 10. ACCORDI DI MUTUO RICONOSCIMENTO 10
  11. 11. 11 ISO/IEC 17011 CONFORMITY ASSESSMENT -- GENERAL REQUIREMENTS FOR ACCREDITATION BODIES ACCREDITING CONFORMITY ASSESSMENT BODIES
  12. 12. ORGANISMI DI NORMAZIONE Organismo che svolge attività normativa, riconosciuto a livello nazionale o internazionale, la cui principale funzione, in applicazione del proprio statuto, è la preparazione, l’approvazione o il recepimento di norme pubblicamente disponibili 12 Mondo ISO Europa CEN Italia UNI Svizzera SNV
  13. 13. UN VIDEO CHE FA RIFLETTERE 13 https://www.wired.com/video/watch/hackers- wireless-jeep-attack-stranded-me-on-a-highway/
  14. 14. BASE NORMATIVA  ISO/IEC 20000 SGS.IT (Sistemi di Gestione per i Servizi IT) è lo standard di riferimento, nato nel 2005, per la Gestione dei Servizi Informatici, a livello internazionale. Tutte le aziende che si conformano a tale standard certificano di possedere una serie di requisiti nell'erogazione e nella fruizione dei servizi IT.  ISO/IEC 20000 è quindi il primo standard per l'IT Service Management, riconosciuto e certificabile su scala mondiale: è diviso in due sezioni:  20000-1 Specification, arrivata alla versione 2011, basata sui processi necessari per ottenere la certificazione  20000-2 Code of Practice, dedicata alle best practices. 14
  15. 15. LA FAMIGLIA 27001 15
  16. 16. ISO/IEC 17021-1:2015  La norma ISO/IEC 17021-1:2015 è invece la norma di riferimento per l’accreditamento degli OdC.  Uno dei requisiti specifici è la pianificazione dell’audit di prima certificazione in una Fase 1 e una Fase 2, con caratteristiche ben distinte.  Il punto 7.1 Competenza del personale rimanda all’Appendice A (per auditor di norme di Sistema di Gestione e altro personale che effettua il riesame dei rapporti di audit e prende decisioni in materia di certificazione. Anche qui troviamo la descrizione delle competenze richieste in modo generale, senza riferimenti ad uno Schema specifico, vi è un richiamo però alle norme della serie ISO/IEC o ISO/IEC TS 17021-X per le competenze specifiche di Schema (vedi Tabella 1 Competenze), e nella nota definisce il concetto di Area tecnica:  “……  I criteri di competenza devono essere determinati con riferimento ai requisiti di ogni tipo di norma o specifica di sistema di gestione, per ogni area tecnica e per ogni funzione nel processo di certificazione.  …….  Nei casi in cui, per una specifica norma o schema di certificazione (per esempio, ISO/IEC TS 17021-2, ISO/IEC TS 17021-3…) siano stati stabiliti criteri specifici di competenza aggiuntivi, questi devono essere applicati. 16
  17. 17. 17  ISO/IEC 17021-1:2015  4 PRINCIPI  5 REQUISITI GENERALI  6 REQUISITI STRUTTURALI  7 REQUISITI PER LE RISORSE  8 REQUISITI RELATIVI ALLE INFORMAZIONI 9 REQUISITI DI PROCESSO  9.1 Attività di pre-certificazione  9.1.1 Domanda (di certificazione)  9.1.2 Riesame della domanda  9.1.3 Programma di audit  9.1.4 Determinazione del tempo complessivo dell’audit  9.1.5 Campionamento multi-sito  9.1.6 Norme di sistemi di gestione multiple  9.2 Pianificazione degli audit  9.2.1 Determinazione degli obiettivi, del campo di applicazione e dei criteri di audit  9.2.2 Selezione e assegnazione del gruppo di audit  9.2.3 Piano di audit  9.3 Certificazione iniziale  9.4 Conduzione degli audit  9.4.1 Generalità  9.4.2 Conduzione della riunione iniziale  9.4.3 Comunicazione nel corso dell’audit  9.4.4 Ottenimento e verifica delle informazioni 9.4.5 Identificazione e registrazione delle  risultanze dell’audit  9.4.6 Elaborazione delle conclusioni dell’audit 9.4.7 Conduzione della riunione di chiusura 9.4.8 Rapporto di audit  9.4.9 Analisi delle cause delle non conformità 9.4.10 Efficacia delle correzioni e delle azioni correttive
  18. 18. 18 I titoli in grassetto sono comuni. I titoli in rosso sono tipici della ISO/IEC 17021-1:2015 (Audit di 3 parte). I titoli in verde sono una guida in appendice alla ISO 19011:2018 utile per Auditor di 1 , 2 e 3 parte.
  19. 19. 19 ISO/IEC 17021-1:2015 APPENDICE A CONOSCENZE E ABILITÀ RICHIESTE ISO 19011:2018 APPENDICE B POSSIBILI METODI DI VALUTAZIONE APPENDICE C ESEMPIO DI UNO SCHEMA DI PROCESSO PER DETERMINARE E MANTENERE LA COMPETENZA 7 COMPETENZA E VALUTAZIONE DEGLI AUDITOR APPENDICE D COMPORTAMENTI PERSONALI ATTESI APPENDICE E PROCESSO DI AUDIT E CERTIFICAZIONE APPENDICE A GUIDA AGGIUNTIVA PER GLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT A.1 Applicazione dei metodi di audit A.2 Approccio per processi nell’attività di audit A.3 Giudizio professionale A.4 Risultati di prestazione A.5 Verifica delle informazioni A.6 Campionamento A.7 Audit di conformità (compliance) nell'ambito di un sistema di gestione A.8 Audit del contesto A.9 Audit della leadership e dell'impegno A.10 Audit dei rischi e opportunità A.11 Ciclo di vita A.12 Audit della catena di fornitura A.13 Preparazione dei documenti di lavoro relativi all’audit A.14 Selezione delle fonti di informazione A.15 Visita del sito dell'organizzazione oggetto dell'audit A.16 Audit di attività e siti virtuali A.17 Conduzione delle interviste A.18 Risultanze dell'audit
  20. 20. PRINCIPI DELL’ATTIVITÀ DI AUDIT RISERVATEZZA: «sicurezza delle informazioni» Gli auditor dovrebbero agire con discrezione nell’utilizzo e nella protezione delle informazioni acquisite nel corso dei loro compiti. Le informazioni relative all’audit non dovrebbero essere utilizzate impropriamente per vantaggi personali da parte dell’auditor o del committente dell’audit, o in modo che possa danneggiare gli interessi legittimi dell’organizzazione oggetto dell’audit. Questo concetto comprende il corretto trattamento delle informazioni sensibili o riservate. Gli altri principi dell’attività di audit sono: INTEGRITÀ, PRESENTAZIONE IMPARZIALE, PROFESSIONALITÀ, INDIPENDENZA, APPROCCIO BASATO SULL’EVIDENZA
  21. 21. 21 CARATTERISTICHE PERSONALI DELL’AUDITOR
  22. 22. GDPR/27001
  23. 23. L’ART. 42 ASSOLTO DALL’IMPLEMENTAZIONE DELLA ISO/IEC 27001. 23 - ISDP10003: Data Protection Certification - EuroPriSe ("European Privacy Seal") è un certificato del settore privato tedesco per prodotti IT conformi alla privacy e servizi basati sull'IT basati sulla legge europea sulla protezione dei dati.
  24. 24. LA NORMA 17065  La norma ISO/IEC 17065 rappresenta la naturale evoluzione del precedente documento normativo ISO Guide 65 (diffusa in Europa come EN 45011) regolante i requisiti per gli Organismi di certificazione di prodotti, processi e servizi. 24
  25. 25. Grazie  Gaetano Spera www.svgroupcert.ch Mobile: +41 079 190 1212 25

×