Premi ESC per chiudere
Qualità e Processi

Certificazione ISO Online: Si Può Fare Tutto da Remoto? La Guida Pratica

Redazione 5 letture
Certificazione ISO Online: Si Può Fare Tutto da Remoto? La Guida Pratica
La pandemia ha accelerato un cambiamento che stava già avvenendo lentamente: gli audit di certificazione ISO si fanno anche da remoto. Prima del 2020, era uno scenario di nicchia. Oggi è una pratica consolidata, regolamentata da standard internazionali e accettata dagli enti di accreditamento di...

La pandemia ha accelerato un cambiamento che stava già avvenendo lentamente: gli audit di certificazione ISO si fanno anche da remoto. Prima del 2020, era uno scenario di nicchia. Oggi è una pratica consolidata, regolamentata da standard internazionali e accettata dagli enti di accreditamento di tutto il mondo. Ma "si può fare da remoto" non significa "si può fare tutto da remoto". Ci sono attività che richiedono necessariamente la presenza fisica, processi produttivi che non si possono valutare attraverso uno schermo, e rischi specifici degli audit a distanza che devi conoscere prima di concordare questa modalità con il tuo organismo di certificazione. In questa guida ti spiego cosa dice la normativa IAF MD4, cosa puoi fare davvero da remoto e come prepararti perché l'audit vada bene.

Audit remoti: cosa ha cambiato la pandemia

Prima del marzo 2020, gli audit di certificazione si svolgevano quasi esclusivamente in presenza. Le poche eccezioni riguardavano la revisione documentale preventiva, che alcuni organismi conducevano già a distanza. Il COVID-19 ha reso impossibile la presenza fisica per mesi, e gli enti di accreditamento hanno dovuto trovare soluzioni in tempi rapidissimi.

IAF (International Accreditation Forum) ha emesso già nel 2020 linee guida straordinarie che autorizzavano l'uso esteso degli audit remoti durante la pandemia. Queste linee guida temporanee sono poi confluite nell'aggiornamento sistematico del documento IAF MD4, che regolamenta l'uso delle tecnologie dell'informazione e della comunicazione negli audit di terza parte. Nel 2022, l'IAF ha pubblicato la versione aggiornata che riconosce formalmente gli audit da remoto come modalità ordinaria e non solo emergenziale.

Il risultato è un cambiamento strutturale: oggi la maggior parte degli organismi di certificazione propone combinazioni di attività in presenza e da remoto, e alcune fasi del processo si svolgono quasi sempre a distanza. Capire quali sono queste fasi è fondamentale per pianificare il tuo percorso di certificazione in modo realistico.

IAF MD4: le regole per gli audit da remoto

Il documento IAF MD4 (Use of Information and Communication Technology — ICT — for Auditing/Assessment Purposes) è il riferimento normativo internazionale per gli audit da remoto. La versione vigente definisce i requisiti che organismi di certificazione e aziende devono rispettare per condurre o partecipare a un audit remoto valido ai fini della certificazione.

I punti chiave dell'IAF MD4 che devi conoscere:

  • Accordo preventivo: l'uso delle ICT per l'audit deve essere concordato tra l'organismo e l'organizzazione auditata prima dell'inizio. Non si decide all'ultimo momento.
  • Valutazione dei rischi: l'organismo deve valutare se le attività da auditare sono compatibili con la modalità remota. Alcune attività ad alto rischio possono richiedere obbligatoriamente la presenza.
  • Competenza dell'auditor: l'auditor deve avere competenze specifiche nell'uso degli strumenti ICT utilizzati, non solo nella norma di certificazione.
  • Accesso alle evidenze: l'audit da remoto deve garantire lo stesso accesso alle evidenze documentali e fisiche (attraverso video, streaming in tempo reale, foto) di un audit in presenza.
  • Confidenzialità: le misure di sicurezza informatica devono proteggere le informazioni riservate trasmesse durante l'audit.
  • Documentazione: tutte le attività condotte da remoto devono essere documentate nel rapporto con indicazione della modalità utilizzata.

L'IAF MD4 non impone una percentuale massima di attività da remoto: questa valutazione è demandata all'organismo sulla base della norma specifica, del settore e della complessità dei processi. Troverai quindi differenze significative tra organismi diversi e tra norme diverse.

Cosa si può fare da remoto e cosa no

La risposta dipende dalla norma di certificazione, dal tipo di attività aziendale e dall'organismo di certificazione. Detto questo, esistono linee guida generali consolidate.

Attività tipicamente compatibili con la modalità remota:

  • Revisione documentale (politiche, procedure, istruzioni operative, registrazioni)
  • Interviste al personale con ruoli di gestione (direzione, responsabile qualità, RSPP)
  • Verifica di sistemi informativi, ERP, software di gestione della qualità
  • Riesame della direzione e dei verbali degli organi di governo
  • Verifica di registrazioni di formazione, audit interni, non conformità
  • Audit di sedi con processi documentali prevalenti (es. uffici amministrativi)

Attività che tipicamente richiedono la presenza fisica:

  • Verifica di processi produttivi con rischi significativi per la sicurezza (macchinari pericolosi, agenti chimici o biologici)
  • Audit di siti produttivi con processi fisici complessi non valutabili adeguatamente in video
  • Verifica di misurazioni, calibrazioni e prove di laboratorio che richiedono osservazione diretta
  • Prima certificazione di siti produttivi con processi ad alto rischio

Per norme come la ISO 9001 applicata ai servizi, la modalità remota può coprire una percentuale molto elevata dell'audit. Per la ISO 45001 in ambienti produttivi ad alto rischio, la presenza fisica è quasi sempre necessaria. Per la ISO 22000 e FSSC 22000, le visite agli stabilimenti produttivi sono generalmente obbligatorie in presenza.

Strumenti e piattaforme per gli audit a distanza

La qualità di un audit remoto dipende in modo significativo dagli strumenti tecnologici utilizzati. La scelta della piattaforma va concordata in anticipo con l'organismo di certificazione.

Videoconferenza: le piattaforme più usate negli audit remoti sono Microsoft Teams, Zoom e Google Meet. Tutte e tre supportano la condivisione dello schermo per la revisione documentale, la registrazione delle sessioni (con le necessarie autorizzazioni) e la qualità audio/video adeguata per le interviste.

Ispezione da remoto dei siti: per la verifica di processi fisici, lo streaming in tempo reale con dispositivi mobili o telecamere industriali è la soluzione più adottata. In alcuni casi si usano videocamere indossabili su casco per mostrare all'auditor la prospettiva dell'operatore in campo. La qualità della connessione è critica: una connessione instabile durante l'ispezione di un processo produttivo può invalidare le evidenze raccolte.

Condivisione documentale: le piattaforme di document management (SharePoint, Google Drive, sistemi DMS aziendali) permettono di condividere in modo sicuro la documentazione del sistema. I documenti devono essere accessibili in tempo reale durante l'audit e le autorizzazioni configurate correttamente prima dell'inizio.

Strumenti specifici per audit: esistono piattaforme dedicate (iAuditor/SafetyCulture, Qualtrax, Intellect QMS) che permettono di raccogliere evidenze, compilare checklist e generare rapporti durante un audit da remoto. Alcuni organismi di certificazione hanno sviluppato proprie piattaforme proprietarie.

Come prepararsi per un audit remoto: checklist pratica

La preparazione per un audit remoto richiede attenzione a dettagli logistici e tecnici che in un audit in presenza non esistono. Ecco la checklist da seguire nelle settimane precedenti l'audit:

Infrastruttura tecnica (da verificare almeno 2 settimane prima):

  • Connessione internet con banda sufficiente (minimo 10 Mbps upload/download per videoconferenza stabile con condivisione schermo)
  • Dispositivi testati con la piattaforma concordata con l'organismo di certificazione
  • Webcam e microfono di qualità adeguata per le interviste
  • Dispositivi mobili per le sessioni di ispezione da campo (se previste)
  • Account configurati sulla piattaforma di videoconferenza per tutti i partecipanti
  • Accesso documentale verificato: l'auditor deve poter visualizzare i documenti in tempo reale

Documentazione (da preparare almeno 1 settimana prima):

  • Tutti i documenti del sistema di gestione accessibili digitalmente in formato leggibile
  • Registrazioni organizzate per argomento e facilmente recuperabili durante l'audit
  • Lista dei documenti con indicazione di dove si trovano nel sistema documentale

Organizzazione delle persone:

  • Calendario delle sessioni condiviso con tutti i partecipanti interni
  • Ogni intervistato informato su quando sarà coinvolto e su come funziona la piattaforma
  • Referente tecnico disponibile durante tutto l'audit per risolvere eventuali problemi tecnici
  • Piano B in caso di problemi di connessione (numero di telefono alternativo, backup su altra piattaforma)

Il futuro: audit ibridi e tecnologie emergenti

La direzione è chiara: gli audit di certificazione stanno evolvendo verso un modello ibrido strutturale, dove la divisione tra attività in presenza e da remoto viene pianificata strategicamente. I modelli che si stanno consolidando prevedono la revisione documentale e le interviste al personale amministrativo condotte da remoto, e la verifica dei processi produttivi critici condotta in presenza. Questo approccio riduce i costi di trasferta degli auditor — che si riflettono sui costi di certificazione — e riduce la disruption per l'azienda, che non deve mobilizzare tutto il personale per un'intera giornata.

Sul fronte delle tecnologie emergenti, alcune realtà stanno sperimentando la realtà aumentata (AR) per le ispezioni da remoto: l'operatore in campo indossa visori AR che trasmettono all'auditor remoto il campo visivo con overlay di informazioni (parametri di processo, istruzioni operative, dati di calibrazione). L'intelligenza artificiale si sta affacciando nella pre-analisi documentale: strumenti che analizzano la documentazione del sistema di gestione prima dell'audit, identificando aree di potenziale non conformità su cui concentrare il tempo dell'auditor.

Chi inizia oggi a strutturare la propria documentazione in modo digitale e accessibile si troverà in vantaggio quando questi strumenti diventeranno prassi standard.

FAQ

Un audit completamente da remoto è valido ai fini della certificazione ISO?
Dipende dalla norma e dal tipo di attività. Per la ISO 9001 applicata a settori di servizi, un audit completamente da remoto può essere valido. Per norme applicate a settori produttivi ad alto rischio (ISO 45001, ISO 22000), gli organismi richiedono generalmente almeno una quota di presenza fisica. Verifica con il tuo organismo prima di pianificare.

Gli audit da remoto costano meno di quelli in presenza?
Dipende dall'organismo di certificazione. In linea di principio, eliminare le trasferte dovrebbe ridurre i costi. In pratica, molti organismi mantengono tariffe simili, giustificando i costi con la maggiore preparazione richiesta. Chiedi preventivi espliciti per le due modalità e confronta.

Posso rifiutare un audit da remoto e richiedere la presenza?
In linea generale sì: l'IAF MD4 richiede che la modalità remota sia concordata tra le parti. Se preferisci la presenza fisica, puoi richiederla. L'organismo potrebbe applicare costi aggiuntivi per trasferte e ore in presenza rispetto a un audit da remoto.

Cosa succede se la connessione cade durante l'audit remoto?
L'IAF MD4 prevede che l'organismo abbia procedure per gestire le interruzioni tecniche. Tipicamente, l'audit si mette in pausa e riprende quando la connessione è ripristinata. Se l'interruzione impedisce di raccogliere evidenze sufficienti per una determinata area, quella parte potrebbe dover essere ripetuta in presenza o in una sessione successiva. È fondamentale avere un piano B concordato prima dell'inizio dell'audit.

Condividi:

Certificazioni correlate

ISO 9001

Sistemi di gestione per la qualità
ISO 45001

Sistemi di gestione per la salute e sicurezza sul lavoro
ISO 22000

Sistemi di gestione per la sicurezza alimentare
FSSC 22000

Schema di certificazione per la sicurezza alimentare