Will Auditing - quando la competenza non basta, serve anche la carta

Pubblicato in data

 

Will Auditing - quando la competenza non basta, serve anche la carta

Attestati, esperienza, campionamento e non conformità mal scritte: una storia vera (e anonima) su come il mondo della certificazione a volte dimentica di guardare la lavagna.

C'è una scena in Good Will Hunting (1997) che vale più di mille corsi di formazione. Will, ventenne tuttofare con il diploma di terza media e una fedina penale, risolve al volo un problema di matematica avanzata che un intero dipartimento del MIT non aveva ancora toccato. Il professor Lambeau, davanti alla lavagna, chiede: "Chi ha risolto questo problema?". La risposta non arriva da chi aveva il badge giusto. Arriva dall'addetto alle pulizie.

Non sto dicendo che i titoli siano inutili. Sto dicendo che esiste un tipo specifico di cecità professionale — quella di chi guarda il badge senza guardare la lavagna. E nel mondo delle certificazioni, questa cecità ha un nome, un indirizzo e, a quanto pare, anche un verbale di audit.

La non conformità più strana che mi sia mai capitata

Un quarto di secolo di esperienza nei sistemi di gestione. Attestati ISO 19011, qualifiche come auditor su ISO 9001, ISO 14001, ISO 45001, ISO 27001. Curriculum multischema. Esperienza di audit su campo. Un curriculum allegato e due attestati di formazione specifica sulla norma SA8000 ma non sulla conduzione degli audit sulla SA8000.

Il rilievo dell'auditor esterno dopo un audit interno ad un sistema SA8000? Testuale:

"Per la risorsa incaricata dell'esecuzione degli audit interni non risulta disponibile evidenza di competenze specifiche in ambito SA8000, come si evince dal rapporto di audit interno che non ha intercettato alcune problematiche ricorrenti."

Pausa.

Respirate.

Contiamo i problemi in questa singola frase. Uno: la contestazione non era «la risorsa non ha le competenze» ma «non risulta disponibile evidenza» — il che è già una distinzione tecnica importante su cui torneremo. Due: la seconda parte della frase — quella sul rapporto di audit interno — introduce una motivazione che è sbagliata su almeno tre livelli distinti. E questo è il punto dove la storia si fa interessante.

Cosa dice davvero la SA8000 sulle competenze degli auditor interni

La SA8000:2014 — e la versione aggiornata SA8000:2026 — richiedono che l'organizzazione esegua audit interni del proprio sistema. Non esiste, all'interno della norma, un requisito esplicito che imponga all'auditor interno di possedere un attestato rilasciato da un ente specifico e dedicato esclusivamente alla SA8000. La norma richiede competenza — e la competenza può essere dimostrata in diversi modi.

📋 RIFERIMENTO NORMATIVO

SA8000:2014 — Sezione III, Performance Requirement 9.13 / SA8000:2026 — Requisiti di sistema
L'organizzazione deve condurre audit interni periodici. Le persone incaricate degli audit interni devono essere competenti per svolgere tale ruolo. La norma non prescrive uno specifico percorso certificativo per l'auditor interno, ma richiede che la competenza sia definita, valutata e mantenuta.

ISO 19011:2018 — Linee guida per gli audit dei sistemi di gestione
Definisce le competenze degli auditor in termini di: conoscenze e abilità generiche, conoscenze specifiche della disciplina auditata, esperienza documentabile. La sola esperienza documentata, in assenza di attestato formale, può costituire evidenza valida di competenza se correttamente registrata.

Tradotto in umano: se hai vent'anni di esperienza multischema documentata, un curriculum che parla chiaro, una formazione specifica sulla norma e sai come si fa un audit — sei competente. Il sistema dovrebbe valutare quella competenza, non semplicemente cercare un attestato apposito come se fosse un bollino su una bottiglia di vino DOC.

Il problema non è il contenuto. È il contenitore.

Will Hunting non aveva un dottorato. Aveva la soluzione. Il professor Lambeau lo capisce: non cancella il problema dalla lavagna protestando che non era stata rispettata la procedura di iscrizione al concorso. Guarda il risultato e capisce di avere davanti qualcosa di raro.

Il punto critico di questa storia non è che qualcuno abbia osato fare audit senza attestato SA8000. Il punto è che il sistema di gestione della società non aveva formalizzato in modo adeguato la valutazione della competenza del professionista incaricato. Questo è il vero gap — non la competenza in sé, ma la sua tracciabilità documentale.

E qui casca l'asino — anzi, casca il sistema di gestione. Perché la SA8000, come qualsiasi altro schema ISO-based, richiede che le competenze siano definitevalutate e documentate. Non richiede necessariamente un attestato esterno come unica forma di evidenza. Ma se quella valutazione non è in un documento, non esiste. Punto.

ATTESTATO vs. ESPERIENZA — cosa conta davvero?

ElementoAttestato formaleEsperienza documentata
Visibilità in auditImmediata — un documento, un checkRichiede costruzione del dossier
Validità normativaAccettata sempreAccettata se correttamente registrata
Misura le competenze reali?Non necessariamenteSì, se verificabile
Rischio in audit esternoBasso (il documento parla da solo)Alto se non formalizzata nel SGQ

Cosa avrebbe dovuto fare la società — e cosa dovresti fare tu

La lacuna non era nella competenza della persona. Era nel sistema di gestione della competenza. La società avrebbe dovuto — e d'ora in avanti dovrà — costruire un dossier di competenza che includa:

  • Una job description o mansionario che definisca i requisiti di competenza per chi esegue gli audit interni SA8000.
  • Un curriculum vitae aggiornato della persona incaricata, con evidenza esplicita delle esperienze rilevanti per la SA8000.
  • Gli attestati di formazione disponibili (anche parziali o su versioni precedenti della norma), con nota di contestualizzazione.
  • Una valutazione formale della competenza effettuata dall'organizzazione — anche una semplice scheda firmata dal responsabile è sufficiente se ben strutturata.
  • Il piano di sviluppo delle competenze nel caso in cui si identifichino gap residui da colmare (e.g., formazione SA8000:2026 entro il periodo di transizione).

Questo è il principio della SA8000, come di qualsiasi sistema gestionale serio: non ti chiede di essere perfetto. Ti chiede di sapere dove sei, di valutare il gap e di avere un piano. La competenza non si dimostra esistendo — si dimostra documentando.

E l'auditor che contesta? Ha torto o ha ragione?

Ha ragione sulla prima parte. Ha torto sulla seconda. E sul complesso della NC — intesa come atto formale con un peso specifico nel rapporto di certificazione — ha costruito un argomento su basi tecnicamente fragili. Andiamo per ordine.

Primo problema: la seconda parte della NC era fattualmente sbagliata. Le «problematiche ricorrenti» citate come non intercettate dall'audit interno? Erano nel rapporto. Documentate, nominate, registrate. Usare come prova di incompetenza un elemento che non reggeva a una lettura attenta del documento è un errore di metodo, non una sfumatura interpretativa. Un auditor che basa una contestazione su una lettura parziale del materiale che ha in mano si mette in una posizione difficile da difendere.

Secondo problema: il campionamento. Un audit — qualsiasi audit, a qualsiasi livello, su qualsiasi schema — non è una fotografia completa della realtà. È un campione. La ISO 19011 lo chiarisce esplicitamente: le conclusioni di un audit si basano su evidenze raccolte su un campione delle informazioni disponibili, il che introduce un elemento di incertezza intrinseca. Questo vale in modo ancora più netto quando si tratta del primo audit interno di un sistema che sta muovendo i primi passi.

📋 RIFERIMENTO NORMATIVO — CAMPIONAMENTO E GRADUAZIONE

ISO 19011:2018 — § 3.3 e § 6.4.7 — Evidenze e campionamento
Le evidenze di audit sono basate su un campione delle informazioni disponibili. Esiste pertanto un elemento di incertezza intrinseco in qualsiasi audit. L'auditor deve tenerne conto nella formulazione delle conclusioni. Non intercettare una problematica non equivale automaticamente a un fallimento del processo di audit: dipende da se quella problematica rientrava nel campione esaminato.

ISO 19011:2018 — § 6.4.8 e Annex B — Classificazione dei rilievi
Le risultanze di audit possono essere classificate come non conformità (maggiore o minore) o come opportunità di miglioramento, in base alla natura, estensione e impatto sul sistema. La classificazione deve tenere conto del contesto complessivo del sistema auditato: un sistema giovane, in fase di prima implementazione e orientato al miglioramento, riceve una valutazione diversa rispetto a un sistema consolidato con rilievi cronici irrisolti. Dedurre incompetenza dell'auditor da rilievi non intercettati — senza considerare il piano di campionamento — è metodologicamente scorretto.

Terzo problema: la graduazione della NC e il contesto sistemico. Anche ammettendo che qualcosa non fosse stato intercettato dall'audit interno — il che, come detto, era già smentito dai fatti — la domanda da porsi non è solo «c'è un gap?» ma «che peso ha questo gap nel contesto di questo sistema, in questo momento della sua vita?». Un sistema alla prima certificazione, con una struttura organizzativa che sta costruendo le proprie procedure, e con segnali evidenti di orientamento al miglioramento, merita una valutazione graduata. La differenza tra una NC maggiore, una minore e una raccomandazione non è cosmesticamente — è sostanziale, e dipende dall'analisi del sistema nel suo complesso, non da un singolo rilievo estratto dal contesto.

Dedurre l'incompetenza di un auditor dall'assenza di un rilievo specifico — su base campionaria, in un primo audit, su un sistema in costruzione — è un ragionamento che non regge alla luce della metodologia di audit. Se questo fosse il metro, nessun audit interno passerebbe mai.

Ma c'è un piano ancora più alto su cui vale la pena fermarsi un momento, perché tocca il senso stesso di cosa sia un audit.

Immagina una direzione che affida un audit interno a un professionista che conosce bene — qualcuno di cui ha visto il lavoro, di cui conosce il metodo, di cui si fida sulla base di anni di esperienza condivisa. Non chiede un attestato perché non ne ha bisogno: ha già le prove. A volte la competenza non si documenta con un foglio — si dimostra con i risultati. E la direzione, che è anche il destinatario di quel report e ne valuterà l'utilità, è nella posizione migliore per esprimere quel giudizio.

ISO 19011 lo prevede esplicitamente: le interviste — anche alla direzione — sono uno strumento legittimo di raccolta delle evidenze. Una chiacchierata strutturata in cui la direzione spiega perché ha scelto quel professionista e su quale base lo considera competente è, formalmente, un'evidenza ammissibile. Non è un escamotage: è audit.

La domanda che il sistema dovrebbe porsi non è «c'è l'attestato?» ma «c'è ragione di dubitare della competenza?». Sono domande diverse. La prima è una scorciatoia amministrativa. La seconda è audit.

Un sistema di gestione che dimentica questa distinzione smette di essere uno strumento di valutazione e diventa un sistema di raccolta bollini. Efficiente nella forma, inutile nella sostanza. Ed è esattamente il tipo di deriva che alimenta la narrativa — spesso ingiusta, ma non sempre infondata — del «carta per la carta».

Detto questo — e questo è il punto scomodo — la parte formale della NC sulla mancanza di evidenza documentata della competenza rimane corretta. Non perché la competenza non ci fosse, ma perché il sistema non aveva costruito il dossier che la rendesse visibile. Su questo, l'auditor aveva ragione. Su tutto il resto, no.

La non conformità avrebbe dovuto essere: "Non è disponibile una valutazione documentata della competenza della persona incaricata degli audit interni SA8000." Stop. Senza appendici sulle problematiche non intercettate, senza deduzioni retroattive sulla qualità del lavoro svolto. Una NC precisa, circoscritta, verificabile — e quindi contestabile o risolvibile in modo altrettanto preciso.

Le parole negli audit contano. Sempre. Anche — e soprattutto — quelle degli auditor di terza parte.

Torniamo a Will

Nel film, il professor Lambeau non pretende che Will si iscriva al corso e superi gli esami prima di accettare che sia lui l'autore della soluzione. Guarda la lavagna. Ragiona. E capisce.

Nel mondo reale delle certificazioni, però, la lavagna non basta. Hai bisogno anche di un foglio firmato che dica che sei tu quello che ci ha scritto sopra. Non perché il sistema sia cinico — ma perché senza quel foglio, un auditor che non ti conosce, che incontra il tuo dossier per la prima volta a distanza di tre anni, non ha modo di sapere chi sei.

La documentazione non è burocrazia fine a sé stessa. È memoria. È trasparenza. È la prova che il sistema funziona anche quando tu non ci sei.

Prendilo come lezione: sei bravo? Bene. Documentalo. Perché il problema non è mai solo quello che sai fare — è quello che il sistema riesce a dimostrare che sai fare, anche in tua assenza.

Will Hunting, se avesse voluto lavorare in una società certificata SA8000, avrebbe avuto bisogno di un curriculum. Almeno uno.

© Diritti e citazioni — I personaggi e le opere citati in questo articolo appartengono ai rispettivi autori e titolari dei diritti. Il loro utilizzo ha finalità esclusivamente divulgativa e di commento critico, ai sensi dell'art. 70 L. 633/1941. Nessuna affiliazione o sponsorizzazione è implicita o sottintesa.

© mauriziomicucci.it — La riproduzione è consentita con citazione della fonte

Commenti

Posta un commento