Un Audit ISO 27001 è un’ispezione sistematica, documentata e indipendente che ha come scopo quello di verificare la conformità e l'efficacia dei Sistemi di Gestione in materia di Sicurezza delle Informazioni, Cybersecurity e protezione della Privacy e di determinati processi, strutture o procedure in riferimento alle caratteristiche richieste nonché per accertarne la corretta e puntuale applicazione della normativa di riferimento.

La conformità dovrà essere dimostrata tramite evidenze oggettive che si raccoglieranno per mezzo di colloqui con il personale, analisi di documenti, osservazione di come vengono svolte le attività di erogazione del servizio/prodotto.

Gli Audit sono suddivisibili come:
Audit di prima parte : sono le verifiche interne condotte da personale interno opportunamente addestrato allo scopo o da Organizzazioni esterne qualificate ai quali il Committente ha conferito mandato;
Audit di seconda parte: sono le verifiche eseguite su Strutture esterne (ad esempio presso i fornitori) e sono condotte da parte del Committente o da Organizzazioni esterne qualificate ai quali il Committente ha conferito mandato;
Audit di terza parte : sono le verifiche di certificazione e sono condotte da un Organismo di Certificazione indipendente ed accreditato che rilascia apposita certificazione di Sistema correlata alla normativa di riferimento.

A COSA SERVE UN AUDIT DI PRIMA PARTE
Un Audit ISO 27001 di Prima Parte serve per:

1. verificare il grado di conformità ed aderenza di quanto esaminato alla norma di riferimento o di posizionamento (rispetto a dei criteri) internamente cioè da parte dall'Organizzazione onde stabilire il proprio livello;
2. controllare il rispetto delle procedure di riferimento e l’adeguatezza delle stesse al contesto dell’Organizzazione;
3. verificare l’efficacia e l’efficienza dei processi;
4. identificare le opportunità di miglioramento;
5. ottenere dati significativi per le decisioni e scelte che i vertici Aziendali dovranno prendere in merito al futuro dell’Organizzazione;
6. raggiungere gli obiettivi che l’Organizzazione si è prefissata;
7. stabilire la conformità o meno degli elementi di un Sistema di Gestione della Qualità rispetto ai requisiti specificati;
8. fornire all’Organizzazione verificata l’opportunità di migliorare il proprio Sistema di Gestione della Qualità;
9. accertare l'efficacia di azioni correttive intraprese.

A COSA SERVE UN AUDIT DI SECONDA PARTE

Un Audit ISO 27001 di Seconda Parte serve per:

1. Valutare inizialmente un fornitore "critico" in vista di un possibile rapporto contrattuale;
2. verificare periodicamente il fornitore continui a soddisfare i requisiti specificati contrattualmente e gli stessi siano realmente messi in atto;
3. verificare che il Sistema di Gestione della Qualità del fornitore soddisfi i requisiti specificati in conformità ed aderenza alla norma di riferimento.

Sono fornitori "critici" per le Organizzazioni, quelli i cui prodotti/servizi possono influenzare significativamente la qualità del servizio/prodotto erogato.

QUANDO SI DEVE FARE UN AUDIT
La valutazione periodica (Audit di prima parte annuo) è obbligatoria per tutte le Aziende certificate , in quanto, tutte le normative volontarie prevedono almeno una sessione di Audit (Verifiche Ispettive) all’anno. Gli Audit interni sono obbligatorie anche in tutti i casi in cui intervengono modifiche sostanziali al Sistema Aziendale o l'Organizzazione deve dare evidenza del miglioramento continuo dei processi (es. accreditamenti strutture sanitarie, clienti della grande distribuzione, etc.).
Gli Audit di seconda parte sono effettuati da chi ha un interesse nell’Organizzazione di monitoraggio e qualifica dei fornitori "critici" , al fine di migliorare le performance dei prodotti/servizi offerti e di conseguenza la soddisfazione del Cliente. Tutte le Aziende "moderne" non possono prescindere da un controllo continuo e sistematico dei propri fornitori, per l’efficacia della propria Organizzazione, della propria capacità produttiva o di erogazione dei servizi e della propria competitività economica.

In molti casi, particolarmente nelle Organizzazioni di piccole/medie dimensioni, anche avendo a disposizione del personale interno addetto agli Audit, non si è in grado di far condurre le verifiche a tale personale indipendente dalle attività oggetto dell'Audit stesso. Inoltre, molto spesso, il personale interno non è in grado di svolgere queste attività in piena autonomia ed obiettività, essendo influenzati dai rapporti instaurati nel tempo con i colleghi che rappresentato le aree, i settori e le attività oggetto dell’ispezione.

La MUST s.a.s., avvalendosi della professionalità dei propri Auditor qualificati, offre pertanto il necessario supportare all'Organizzazione, svolgendo attività di Audit limitatamente all’incarico ricevuto, consegnando al termine dello stesso un dettagliato Rapporto di Audit sulle risultanze emerse.
L’Audit gestito in outsourcing dai Valutatori esperti qualificati della MUST s.a.s. , garantirà:

1. Audit di prima parte per analizzare le prestazioni dei Sistemi di Gestione Aziendale, valutare la conformità dell’Organizzazione a fronte della norma di riferimento ISO 27001(Certificazione Sistemi di Gestione sulla Sicurezza delle Informazioni, cybersecurity e protezione della privacy) e della normativa cogente;
2. Audit di seconda parte a garanzia che il fornitore gestisca la Qualità del proprio prodotto/servizio ad un livello percepibile ed apprezzabile e conformemente alle specifiche tecniche di fornitura.

Gli Auditor della MUST s.a.s. , applicano una metodologia di analisi e valutazione attraverso:

1. l’utilizzo di check-list personalizzate,
2. sopralluoghi accurati presso le unità oggetto di verifica,
3. esame della documentazione,
4. colloqui e interviste con gli addetti.

I Rapporti di Audit costituiranno un documento di analisi dettagliata e personalizzata in grado di fornire al management aziendale una visione d’insieme sul grado di efficacia dei Sistemi di Gestione Aziendali.