Fin dagli albori dei sistemi qualità ISO 9001 (ma ai tempi era anche ISO 9002) la qualifica del fornitore è stato un elemento particolarmente significativo, da soddisfare anche attraverso la sottomissione ai fornitori di un questionario di (auto)valutazione e qualifica del fornitore che andava a valutare la sua organizzazione, le sue metodologie di assicurazione qualità e l’eventuale situazione rispetto alla certificazione di qualità (ISO 9001/ISO 9002/ISO 9003, certificazioni di prodotto, ecc.). Tali questionari avevano una loro ratio: se ben strutturati consentivano di valutare numerosi aspetti dei processi operativi del fornitore e spesso lo invitavano a migliorare i suoi controlli qualità. Chiaramente una visita in loco poteva sempre permettere al cliente di verificare la veridicità delle risposte fornite.

Nel corso degli anni i metodi di valutazione dei fornitori si sono evoluti, ma i questionari sono in parte rimasti, almeno per i fornitori di prodotti e servizi critici, magari affiancati da visite presso la loro sede o veri e propri audit di 2a parte.

Negli ultimi tempi questa modalità di valutazione è estesa ad altri settori: la privacy, la sicurezza informatica e la Sostenibilità, tipicamente declinata nei suoi elementi costituenti: Ambiente (Environment), Responsabilità Sociale (Social Accountability) e Governance, nota con l’acronimo ESG.

Purtroppo, grandi aziende hanno distribuito a pioggia questi questionari per valutare tutti i loro fornitori, senza distinzione.

Così molte aziende si sono viste recapitare (via e-mail) un questionario al quale devono tassativamente rispondere, ma non sanno come, soprattutto per quanto riguarda alcune domande.

Spesso, poi, le risposte ai questionari vengono valutate con algoritmi matematici, applicando metodi quali-quantitativi. In altre parole, ad ogni domanda bisogna rispondere con un SI o NO oppure con un Conforme/Parzialmente Conforme/Non Conforme, e così via. Ad ogni risposta è poi assegnato un punteggio (ed eventualmente un peso) che contribuisce al calcolo di un punteggio complessivo (spesso tramite una media pesata).

Dunque, troppe risposte negative o parzialmente negative possono portare ad escludere una PMI dall’Albo Fornitori di un cliente importante per aspetti non strettamente legati al prodotto/servizio fornito.

Ma andiamo ad esaminare le due principali tipologie di questionari:

• quello dedicato alla Sostenibilità (ESG) e
• quello dedicato alla Privacy (Data Protection secondo il GDPR, Reg UE 2016/679) ed alla Sicurezza Informatica (Cybersecurity).

I questionari sulla Sostenibilità riportano domande anche molto specifiche come, ad esempio, richieste sul calcolo della carbon footprint, delle emissioni di CO₂ e/o monitoraggio dei consumi energetici.

Ovviamente a tali domande molte PMI, soprattutto quelle nel settore dei servizi, non sanno cosa rispondere, né pensano di implementare un sistema di misura e monitoraggio di tali elementi.

In molti contesti il questionario non dovrebbe essere applicabile: se il fornitore ha un basso impatto ambientale, non dovrebbe essere valutato su questi aspetti, in quanto non posso trattare allo stesso modo un fornitore di prodotti derivanti da un processo manifatturiero, un semplice rivenditore di prodotti e un fornitore di servizi di sviluppo software ed assistenza software e sistemistica. Se il fornitore appartiene a queste ultime tipologie, dovrebbe poter rispondere: “Caro cliente, siamo un’azienda di servizi che lavora in uffici neanche tanto vasti, il nostro impatto ambientale è limitato e più che cercare di fare la raccolta differenziata e di limitare i consumi energetici (già ridotti) non possiamo”. Del resto i valori di alcuni parametri sopra menzionati non avrebbero senso e non sarebbero comunque comparabili con aziende industriali.

Sugli aspetti Social dei questionari ESG, non ha molto senso richiedere il possesso di una certificazione nell’ambito della Responsabilità Sociale (SA 8000 o altri; ci sono diversi standard, forse troppi, nessuno standard ISO certificabile), soprattutto quando il fornitore non è a rischio di non rispettare i diritti dei lavoratori, soprattutto riguardo al lavoro forzato o al lavoro minorile.

Questi ultimi aspetti, viceversa, spesso risultano difficilmente applicabili a fornitori che producono in Paesi nei quali la normativa sul lavoro non è severa come nel nostro, anzi, lo sfruttamento dei lavoratori e il disconoscimento dei loro diritti è all’ordine del giorno.

In queste situazioni il tipico caso è quello dell’azienda A (grande azienda, anche multinazionale) vuole imporre criteri rigorosi di responsabilità sociale all’azienda B (il nostro fornitore che è un semplice rivenditore) che acquista i prodotti dall’azienda C, che è una grande azienda che opera in mercati del lavoro poco regolamentati (Asia, Africa…). L’azienda B può essere assolutamente compliance a tutte le norme applicabili in Italia e forse più, ma che controllo può imporre su fornitori di altri Paesi che controllano il mercato globale?

Lato Governance spesso viene richiesta l’attuazione di un Modello Organizzativo 231 (per le aziende italiane) che per certi settori non ha senso poiché la probabilità di incappare in uno dei reati previsti dal D.lgs 231/2001 è quasi inesistente. Idem dicasi per la nuova normativa anticorruzione (ISO 37001).

Al di là del consiglio di rispondere con serietà, competenza e massima trasparenza, sarebbe utile instaurare un canale di comunicazione con il cliente per evitare di essere fortemente penalizzati da un algoritmo di valutazione del questionario che non considera adeguatamente nel calcolo il settore di appartenenza del fornitore.

Passiamo al questionario sulla Privacy e/o sulla Cybersecurity.

Il questionario Privacy viene giustamente adottato per qualificare il responsabile (esterno) del Trattamento di Dati personali ai sensi dell’art. 28 del GDPR, ma non solo. Alcune organizzazioni che hanno molto a cuore la tutela dei dati personali che gestiscono, anche perché molto critici (dati sanitari, dati bancari, ecc.), lo mandano a chiunque ha un appalto di servizi. Starà poi al fornitore spiegare che magari il proprio software in cloud non tratta dati personali di cui il cliente è titolare, a parte i dati delle credenziali di accesso degli utenti e, pertanto, non potrà mai essere investito del titolo di Responsabile del Trattamento.

Se, viceversa, il fornitore tratta dati personali occorre fare attenzione ad alcune domande. Ad esempio, spesso il cliente richiede se il fornitore ha svolto una DPIA (valutazione di impatto sui dati personali), che in realtà è applicabile solo in alcuni casi. Ricordiamo infatti che la DPIA è dovuta, oltre ai casi esplicitamente previsti dal Regolamento UE 679/2016 e dalle indicazioni del nostro Garante Privacy, se un trattamento di dati personali – a seguito della valutazione dei rischi – presenta rischi elevati per i diritti e le libertà degli interessati.

 Anche le domande sul DPO (RPD) dovrebbero prevedere la non applicabilità del requisito per determinati tipi di organizzazione, anche se la nomina di un DPO è comunque un’azione volontaria consigliabile in molte realtà.

Per quanto riguarda la nomina dei responsabili del trattamento (sub-responsabili per il trattamento che un fornitore effettua per un cliente titolare del trattamento) con adeguato accordo contrattuale, essa è un atto doveroso, ma è difficile ribaltare al sub-responsabile i medesimi requisiti contrattuali imposti dal titolare (cliente) al responsabile (fornitore). Immaginiamo ad esempio una società di servizi di elaborazione dati relativi alla gestione del personale che ha numerosi clienti che la hanno nominata responsabile del trattamento, ma che ovviamente utilizza il medesimo programma software per elaborare i dati di tutti i clienti ed ha un contratto con i fornitori del software (tipicamente in Saas, ovvero in cloud) unico con la nomina del fornitore del software  a responsabile del trattamento. In tale situazione è difficile che tutti i requisiti, anche quelli particolari, coincidano con quelli richiesti dal cliente titolare del trattamento.

Poi ci sono le misure di sicurezza.

Spesso le check-list comprendono riferimenti a controlli estratti da linee guida ENISA, ISO 27002 e quant’altro di meglio c’è a disposizione. Peccato che talvolta queste misure di sicurezza non sono correttamente declinate.

Ad esempio, il controllo degli accessi logici e le regole di autenticazione non possono essere imposti tu cur dal cliente al fornitore: alcune regole come il cambio password ogni 3 o 6 mesi non ha senso richiederle come obbligo. Ci sono illustri pareri (NIST in primis) che sono contrari al cambio password frequente, a vantaggio di altre misure di sicurezza alternative (es. MFA con elevata complessità della password).

Dunque, sarebbe più corretto chiedere al fornitore quali policy di controllo degli accessi logici ha implementato e non accontentarsi di risposte del tipo: “per accedere ai sistemi informatici abbiamo imposto una password” … che vuol dir tutto e vuol dir niente.

Poi chiaramente il questionario dovrebbe concentrarsi sulle misure di sicurezza relative al trattamento che il fornitore fa per il cliente. Se il responsabile del trattamento fornisce un software i cloud (SaaS) non ha particolare rilevanza come effettua i backup dei propri dati gestionali internamente, ma è importante capire quali misure di sicurezza ha adottato il datacenter che ospita il servizio.

Stesso discorso vale per backup, anti-malware, firewall ed altre misure di sicurezza che dovrebbero essere commisurate all’attività effettivamente svolta dal fornitore per il cliente. Non basta affermare di disporre di queste misure di sicurezza, bisogna capire come sono applicate. Quando l’accesso del fornitore ai dati del cliente avviene sui database installati presso il cliente normalmente le misure di sicurezza importanti sono quelle implementate dal cliente stesso (regole di autenticazione, VPN per accessi dall’esterno, ecc.). In conclusione, occorre essere preparati per rispondere adeguatamente a queste richieste dei clienti e, se si ritiene di essere adeguatamente strutturati ed organizzati su questi aspetti, è opportuno cercare un dialogo con persone competenti appartenenti all’organizzazione del cliente. Nella

La norma UNI CEI EN ISO 50001:2011 “Sistemi di gestione dell’energia – Requisiti e linee guida per l’uso” è la versione ufficiale italiana della norma internazionale ISO 50001 (“Energy management systems — Requirements with guidance for use”, edizione dell’ottobre 2011). La norma specifica i requisiti per creare, avviare, mantenere e migliorare un sistema di gestione dell’energia il cui obiettivo è quello di consentire ad un‘organizzazione di perseguire, con un approccio sistemico, il miglioramento continuo delle proprie prestazioni energetiche, comprendendo in ciò l’efficienza energetica, nonché il consumo e l’uso dell’energia.

Anche questa norma, così come le altre normative sui sistemi di gestione, è basata sull’approccio Plan-Do-Check-Act che ben si sposa con le caratteristiche di questo sistema di gestione.

Infatti, il Sistema di Gestione dell’Energia (SGE o Energy Management System, EnMS) richiede che vengano stabiliti politica ed obiettivi relativi alla gestione dell’energia dell’organizzazione, che tali obiettivi siano convertiti in indicatori di performance energetici e che siano stabiliti piani ed azioni per raggiungere gli obiettivi (Plan).

Poi si dovrà attuare i piani e le azioni pianificate per ridurre i consumi energetici (Do) e misurare e monitorare il raggiungimento degli obiettivi energetici stabiliti (Check). Infine occorrerà riesaminare i risultati ottenuti e perseguire il miglioramento continuo delle prestazioni energetiche (Act).

Molti potranno pensare: «ecco l’ennesima norma sui sistemi di gestione inventata dagli organismi di certificazione e dai consulenti per incrementare il loro business». In effetti dopo l’ISO 9001 c’è stato un proliferare delle norme sui sistemi di gestione che ha spinto molte organizzazioni a certificarsi, in taluni casi anche perché obbligati da richieste di leggi e committenti (anche Pubblici)…

Premesso che la certificazione ISO 9001 sui sistemi qualità è realmente utile – se affrontata nel modo giusto – per migliorare le prestazioni e l’efficienza delle organizzazioni, questo (ultimo?) sistema di gestione permette – anche qui se impostato nel modo giusto – di ridurre realmente i costi per l’energia e migliorare l’impatto ambientale dell’organizzazione.

Oggi i consumi energetici incidono significativamente sui bilanci aziendali e risparmi su queste voci di costo possono effettivamente migliorare la competitività aziendale. Naturalmente ogni azienda fa storia a sé e dovrà stabilire un riferimento per le prestazioni energetiche (energy baseline) dal quale partire per cercare di migliorare, in modo tangibile, i propri consumi energetici e, quindi, i relativi costi. È tuttavia fondamentale che le imprese identifichino in modo chiaro e preciso, nei propri conti economici, quali sono gli effettivi costi legati ai consumi energetici per poter valutare gli effettivi margini di miglioramento. Anche in questo caso un buon controllo di gestione, che permetta di distinguere, ad esempio, i consumi energetici delle apparecchiature di produzione (dipendenti in parte dal volume della produzione e, dunque, parzialmente variabili) da quelli degli uffici (essenzialmente costi fissi di struttura).

Evidentemente non serve a nulla approcciare questa certificazione solo per avere il “bollino”, magari definendo e calcolando indicatori fasulli o poco significativi, del resto anche per le altre norme sui sistemi di gestione non è molto diverso…

D’altro canto provare a risparmiare sui consumi energetici in modo disorganizzato, senza una progettualità e senza disporre delle competenze per riuscire realmente a ridurre i consumi energetici nel medio-lungo periodo è quasi tempo perso.

Questa norma, per essere applicata efficacemente richiede, oltre alle competenze sui sistemi di gestione, delle competenze specialistiche sulla gestione dell’energia che poche aziende possiedono internamente, forse solo quelle di più grandi dimensioni. Naturalmente approvvigionarsi di queste competenze esternamente, anche per monitorare i consumi energetici, comporta investimenti normalmente superiori a quelli richiesti per ottenere una semplice certificazione di qualità ISO 9001, ma spesso il “gioco vale la candela” e ben presto si rientra dei costi sostenuti e nel lungo periodo si può conseguire risparmi consistenti. Inoltre la certificazione di parte terza consente una valutazione indipendente che garantisce che gli sforzi fatti sono stati proficui e permette di migliorare la propria immagine sul mercato in quanto a minori consumi energetici corrispondono, ovviamente, a minori emissioni di gas ad effetto serra e, quindi, un impatto ambientale migliore che dimostra una certa responsabilità sociale dell’impresa.

Il sistema di gestione dell’energia (EnMS) pone le sue fondamenta sulla definizione di una politica per la gestione dell’energia (punto 4.3 della norma), basata naturalmente sul rispetto dei requisiti cogenti e sul miglioramento delle prestazioni energetiche di partenza. Ciò implica l’effettuazione di una analisi iniziale di tutti i consumi energetici dell’organizzazione e dei requisiti cogenti a cui è soggetta nella situazione attuale e quelli eventualmente che si andranno ad introdurre con le azioni pianificate che andranno a modificare gli impianti di produzione dell’energia e le relative fonti di approvvigionamento.

Il punto 4.4 della norma ISO 50001 (Energy planning) riporta i requisiti per la pianificazione energetica, che comprendono la definizione e l’attuazione di una politica energetica, lo stabilire obiettivi e piani d’azione finalizzati al miglioramento delle prestazioni energetiche prendendo in considerazione le prescrizioni legali e le informazioni relative ai consumi energetici significativi.

Lo standard internazionale dedica tre punti normativi allo sviluppo di un riesame energetico iniziale (punto 4.4.3 della norma), alla determinazione di una baseline (4.4.4 Energy baseline) ed alla individuazione di indicatori di performance energetici  (4.4.5): un’evoluzione rispetto la EN 16001 (ora ritirata) nella quale i concetti sono citati esclusivamente in appendice informativa.

Il riesame iniziale dell’energia è fondamentale che venga effettuato in modo completo e corretto, al fine di conoscere tutti gli impieghi di energia dell’organizzazione in modo quantitativo e qualitativo per definire la baseline di partenza sulla quale fondare le analisi finalizzate ad individuare i consumi più significativi e le possibili azioni di miglioramento per ridurre i consumi energetici.

Gli indicatori di performance energetica (EnPI, energy performance indicator) dovranno essere identificati, misurati e monitorati nel tempo e periodicamente riesaminati per valutarne la significatività e l’attendibilità a misurare le prestazioni energetiche dell’organizzazione.

L’organizzazione dovrà poi definire obiettivi e traguardi (target) energetici a differenti livelli della stessa (aree, funzioni, processi, stabilimenti, impianti) per valutare il perseguimento degli obiettivi della politica energetica. Dovranno poi essere definiti piani ed azioni per il raggiungimento degli obiettivi e traguardi stabiliti, comprendenti responsabilità, tempi, metodi di attuazione e metodi di verifica dei miglioramenti apportati alle prestazioni energetiche.

I risultati sul raggiungimento di tali obiettivi e traguardi costituirà un input per il riesame energetico.

Il capitolo 4.5 della norma (Implementation and operation) comprende alcuni requisiti standard comuni anche ad altre norme sui sistemi di gestione che vengono declinati in relazione all’EnMS, ossia:

• 4.5.2 Competenza, formazione e consapevolezza: tutto il personale che influenza l’EnMS deve possedere le competenze adeguate al ruolo e conseguentemente essere formato/addestrato per acquisire le competenze necessarie; deve inoltre possedere la consapevolezza dell’influenza delle proprie attività sulla conformità alle procedure stabilite nell’EnMS e sulle prestazioni ed i consumi energetici dell’organizzazione.
• 4.5.3 Comunicazione: devono essere adottati metodi di comunicazione interna ed eventualmente anche esterna sull’attività e sulle prestazioni energetiche dell’organizzazione, anche al fine di aumentare la conoscenza e la consapevolezza del personale e incentivare i suggerimenti per il miglioramento energetico.
• 4.5.4 Documentazione: devono essere mantenute informazioni documentate almeno su scopo e perimetro del sistema di gestione dell’energia, politica energetica, obiettivi, traguardi e piani, registrazioni richieste dalla norma. Per il resto il requisito è del tutto analogo a quello di altri sistemi di gestione (a questo punto sarebbe auspicabile il richiamo ad una norma unica sul controllo dei documenti dei sistemi di gestione!).
• 4.5.5 Controllo operativo: l’organizzazione deve identificare e pianificare le operazioni ed attività di manutenzione che hanno un’influenza significativa sulla gestione energetica (politica, obbiettivi e traguardi, piani di azione) al fine di assicurare che vengano eseguite correttamente attraverso una serie di strumenti indicati dalla norma stessa (istruzioni, controlli, manutenzioni, ecc.).
• 4.5.6 Progettazione: l’aspetto “progettuale” nel SGE è fondamentale in quanto alcuni miglioramenti strategici alla gestione energetica devono essere progettati accuratamente poiché possono riguardare la realizzazione di nuovi impianti o interi stabilimenti oppure la revisione radicale dei sistemi di alimentazione energetica dell’infrastruttura esistente.
• 4.5.7 Acquisti: l’approvvigionamento di energia e la gestione dei relativi fornitori deve essere basata sul miglioramento delle prestazioni e dell’efficienza energetica, dunque anche i fornitori saranno valutati mediante questi criteri (oltre a quelli eventualmente già stabiliti nella valutazione fornitori del sistema di gestione per la qualità).

Il capitolo 4.6 della norma è dedicato ai controlli (punto Check del ciclo PDCA) e comprende:

• Il monitoraggio, l’analisi e la misurazione (4.6.1) delle caratteristiche chiave (EnPI, dati sull’utilizzo dell’energia, obiettivi e traguardi, analisi dei consumi, ecc.) che riguardano la gestione energetica. Tale elemento richiede competenze e strumentazione adeguata per implementare sistemi di misurazione e monitoraggio dell’efficienza e dei consumi energetici.
• Il rispetto delle prescrizioni legali (4.6.2), attraverso un riesame periodico della conformità ai requisiti cogenti applicabili.
• Gli audit interni (4.6.3), pianificati e condotti come per gli altri sistemi di gestione (anche in questo caso perché non stabilire una norma di riferimento comune per gli audit interni nei sistemi di gestione, che potrebbe anche essere una versione light della UNI EN ISO 19011?).
• Non conformità, Azioni correttive e Azioni Preventive (4.6.4): premesso che le NC rappresentano scostamenti a requisiti della norma, procedure o requisiti cogenti relativamente alla gestione dell’energia, il processo virtuoso di correzione delle non conformità, eventuale identificazione ed attuazione di azioni correttive finalizzate ad eliminare le cause delle NC o azioni preventive finalizzate ad evitare che una NC potenziale si verifichi, è pressoché identico a quello delineato nella norma ISO 9001 ed in altri sistemi di gestione.
• Il controllo delle registrazioni (4.6.5), stranamente separato dalla gestione dei documenti (posta al 4.5.4), è del tutto simile a quello definito nelle altre norme sui sistemi di gestione.

Il capitolo 4.7, infine, tratta il riesame del sistema di gestione dell’energia da parte della direzione. Anche per questo requisito si tratta di declinare il corrispondente punto della ISO 9001 nel sistema di gestione dell’energia per ritrovarsi gli elementi in input ed output al riesame del SGE in perfetta analogia con altri sistemi di gestione.

Infine la norma propone un’appendice A (informativa) contenente l’interpretazione dei requisiti di norma al fine di evitare incomprensioni nell’interpretazione della stessa.

In particolare l’appendice contiene utili diagrammi per comprendere come sono costituite le prestazioni energetiche (uso dell’energia, consumi energetici, intensità ed efficienza energetica) e come dovrebbe avvenire il processo di pianificazione energetica.

Da ultimo, nell’appendice B, viene proposta la consueta matrice di correlazione con altre norme su sistemi di gestione (ISO 9001, ISO 14001, ISO 22000), che purtroppo rischia di diventare presto obsoleta nel momento in cui verranno revisionate le norme citate; inoltre si rileva l’assenza della corrispondenza con altre norme importanti, ISO (ISO 27001, ISO 22301, …) e non ISO (OHSAS 18001, SA 8000) e diffuse.

In pratica un sistema di gestione dell’energia richiede pochi sforzi dal punto di vista “sistemistico” per le organizzazioni già certificate con ISO 9001 o ulteriori norma (dunque un sistema di gestione integrato), mentre richiede comunque un approccio adeguato per affrontare la gestione del miglioramento delle prestazioni energetiche che, comunque, può portare ad una significativa riduzione dei costi legati all’energia, anche del 20% in situazioni reali. Dunque il sistema si paga da sé.

A gennaio 2014 le organizzazioni certificate ISO 50001 erano 183 per un totale di 220 siti certificati, dunque c’è ampio margine di espansione per questa certificazione nel prossimo futuro.

Sono state pubblicate le revisioni dei Regolamenti Tecnici RT-29 e RT-30 per l’accreditamento degli Organismi operanti nel settore dei gas fluorurati.

Sono state approvate dal Consiglio Direttivo di ACCREDIA del 30 settembre 2013, le nuove revisioni dei Regolamenti Tecnici RT-29 e RT-30 applicabili per l’accreditamento degli Organismi operanti la certificazione di prodotto/servizio nel settore dei gas fluorurati ai sensi del DPR n. 43/2012:

> Regolamento Tecnico ACCREDIA RT-29 rev. 02

“Prescrizioni per l’accreditamento di Organismi operanti le certificazioni dei servizi di:

• installazione, manutenzione o riparazione di apparecchiature fisse di refrigerazione, condizionamento d’aria e pompe di calore contenenti taluni gas fluorurati ad effetto serra, in base alle disposizioni del Regolamento (CE) n. 303/2008;
• installazione, manutenzione o riparazione di impianti fissi di protezione antincendio e di estintori contenenti taluni gas fluorurati ad effetto serra, in base alle disposizioni del Regolamento (CE) n. 304/2008.

> Regolamento Tecnico ACCREDIA RT-30 rev. 02

“Prescrizioni per l’accreditamento di Organismi operanti le certificazioni del servizio di erogazione di corsi di formazione per personale addetto al recupero di determinati gas fluorurati ad effetto serra dagli impianti di condizionamento d’aria dei veicoli a motore in conformità al Regolamento (CE) 307/2008.”

I documenti, giunti alla seconda revisione, hanno recepito una serie di modifiche – concordate con il Ministero dell’Ambiente dopo gli opportuni confronti con le Parti interessate – con l’obiettivo di semplificare e chiarire alcuni requisiti.

Con riferimento agli Organismi di certificazione che operano in conformità al Regolamento Tecnico RT-29, si specifica che alcune modifiche verranno divulgate attraverso apposita circolare.

Per quanto riguarda il processo di valutazione, si stabilisce che la visita iniziale (e di rinnovo) di certificazione possa essere svolta presso la sede dell’impresa, ma anche presso il luogo di intervento dell’impresa stessa. Inoltre, si richiede un Piano della Qualità più snello.

Mentre la verifica di prima certificazione, e rinnovo, deve essere effettuata in campo, le successive verifiche di sorveglianza possono essere gestite a livello documentale.

Tuttavia, l’Organismo può sostituire uno degli esami documentali con una verifica di sorveglianza presso la sede dell’impresa (o il luogo di intervento), nei casi in cui si richiedano approfondimenti o si debbano gestire delle segnalazioni.

In occasione della visita in campo, l’Organismo di certificazione che sia accreditato anche in conformità al Regolamento Tecnico per l’accreditamento RT-28 (rev. 01) “Prescrizioni per l’accreditamento di Organismi operanti le certificazioni delle persone addette alle attività di cui ai Regolamenti (CE) n. 303/2008, n. 304/2008, n. 305/2008 e n. 306/2008”, se verifica che sussistono le condizioni di cui allo stesso RT-28, può concordare con l’impresa di condurre contemporaneamente anche gli esami del personale, ai fini del rilascio delle relative certificazioni.

Per quanto riguarda la trasparenza dei costi della certificazione, l’Organismo deve indicare chiaramente in allegato al tariffario i criteri e le modalità di sconto applicabili ai clienti, e sottoporle al parere preventivo del Comitato o Meccanismo per la salvaguardia dell’imparzialità prima della pubblicazione. Il tariffario e ogni successiva modifica devono essere trasmessi al Ministero dell’Ambiente e della Tutela del Territorio e del Mare, unitamente al certificato di accreditamento rilasciato da ACCREDIA, che costituisce requisito per la designazione e abilitazione all’attività, ai sensi del del DPR n. 43/2012.

Nel caso in cui l’impresa voglia trasferire la propria certificazione – rilasciata da un Organismo accreditato da un Ente di accreditamento firmatario degli Accordi EA MLA – a un Organismo accreditato da ACCREDIA, quest’ultimo deve raccogliere in via preliminare tutta la documentazione che dimostri la conformità ai requisiti di certificazione richiesti (compresi il rapporto di verifica di prima certificazione o di rinnovo e i rapporti delle visite di sorveglianza), e sottoporre la pratica al proprio Organo di Delibera, per la decisione in merito al rilascio della certificazione.

La novità che ha interessato il Regolamento Tecnico RT-30 riguarda la definizione della tecnica di campionamento.

L’Organismo di valutazione, in sede di verifica presso i centri di formazione (permanenti e/o temporanei), deve conformarsi al criterio del campionamento multisito, come definito da IAF (documento IAF MD 1:2007 “Certification of Multiple Sites Based on Sampling”).

Fonte Accredia – REGOLAMENTI GAS FLUORURATI.

Si veda sull’argomento anche la “Guida operativa f-gas” aggiornata FGAS_GUIDA_OPERATIVA_03072013

E’ entrato in vigore il 12 luglio scorso il D.P.R. n. 74 del 16/04/2013 (Regolamento recante definizione dei criteri generali in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda per usi igienici sanitari) che apporta nuove modifiche alla normativa in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria.

Con questo decreto si regolarizzano molti aspetti (dalle temperature consentite alla documentazione obbligatoria da inserire negli impianti) e viene data particolare importanza alle attività necessarie al contenimento dei costi e alla riduzione dei consumi, in un’ottica sempre più orientata ad una gestione efficiente degli impianti termici.

Il Decreto 74 è funzionale al recepimento della Direttive UE 2002/91 (Rendimento Energetico in Edilizia) e 2010/91.

Il DPR 74/2013 sancisce innanzitutto i limiti di temperatura, non solo per gli impianti di riscaldamento, ma anche per quelli di raffrescamento (climatizzazione estiva):

• Durante il funzionamento dell’impianto di climatizzazione invernale la media ponderata delle temperature dell’aria nei singoli ambienti riscaldati non deve superare i 20°C + 2°C di tolleranza per gli edifici ad uso ufficio e/o abitazione.
• Durante il funzionamento dell’impianto di climatizzazione estiva la media ponderata delle temperature dell’aria nei singoli ambienti condizionati non deve essere minore di 26°C-2°C di tolleranza per tutti gli edifici.

In entrambi i casi il mantenimento della temperatura dell’aria negli ambienti entro i limiti fissati non deve comportare sprechi di energia.

Passiamo ad esaminare i principali punti della nuova legge che impattano l’attività dei manutentori di impianti termici e di condizionamento, in particolare i cosiddetti “terzi responsabili” che attuano un sistema di gestione per la qualità certificato UNI EN ISO 9001:2008.

All’Art. 6, comma 1 si afferma che «L’esercizio, la conduzione, il controllo, la manutenzione dell’impianto termico e il rispetto delle che può delegarle ad un terzo.» (il c.d. “Terzo Responsabile”).  Al comma 2, poi, si stabilisce che «In caso di impianti non conformi alle disposizioni di legge, la delega di cui al comma 1 non può essere rilasciata, salvo che nell’atto di delega sia espressamente conferito l’incarico di procedere alla loro messa a norma. Il delegante deve porre in essere ogni atto, fatto o comportamento necessario affinché il terzo responsabile possa adempiere agli obblighi previsti dalla normativa vigente e garantire la copertura finanziaria per l’esecuzione dei necessari interventi nei tempi concordati. Negli edifici in cui sia instaurato un regime di condominio, la predetta garanzia e’ fornita attraverso apposita delibera dell’assemblea dei condomini. In tale ipotesi la responsabilità degli impianti resta in carico al delegante, fino alla comunicazione dell’avvenuto completamento degli interventi necessari da inviarsi per iscritto da parte del delegato al delegante entro e non oltre cinque giorni lavorativi dal termine dei lavori. »

Nella sostanza dei condomini che dispongono di un Amministratore il delegante è il Condominio, nella persona del suo Amministratore Condominiale, il delegato è il manutentore Terzo Responsabile.

Al comma 3 si precisa che «Il responsabile o, ove delegato, il terzo responsabile rispondono del mancato rispetto delle norme relative all’impianto termico, in particolare in materia di sicurezza e di tutela dell’ambiente. L’atto di assunzione di responsabilità da parte del terzo, anche come destinatario delle sanzioni amministrative, applicabili ai sensi dell’articolo 11, deve essere redatto in forma scritta contestualmente all’atto di delega.»

Nella realtà sono presenti numerosi impianti termici condominiali che non soddisfano, essenzialmente per vetustà, tutti i requisiti normativi e di legge. In molte di queste situazioni il manutentore incaricato come Terzo Responsabile ha segnalato le carenze presenti, sia formali, sia tecniche, ma l’Amministratore non ha provveduto a far adeguare l’impianto ai requisiti cogenti. Talvolta ciò accade per mancanze dell’Amministratore di Condominio che non ha adeguatamente conservato tutte le dichiarazioni di conformità che dovrebbero essere presenti o non ha voluto operare attivamente per dar seguito alle segnalazioni del manutentore, ad es. non ha provveduto a far rinnovare il certificato di prevenzione incendi. In altri casi è l’Assemblea Condominiale che non ha voluto deliberare le spese necessarie per adeguare l’impianto o addirittura per rinnovarlo anche parzialmente, più o meno a conoscenza delle conseguenze che tale latitanza può comportare.

Nella maggior parte di queste situazioni il manutentore, incaricato come terzo responsabile, ha fatto buon viso a cattivo gioco e per non alterare i difficili equilibri con l’Amministratore ha effettuato le manutenzioni ordinarie previste dalle norme e dalla documentazione tecnica dell’impianto (quando presente), accettando di fatto la nomina come terzo responsabile nel libretto di centrale e glissando sulle carenze dell’impianto nei rapporti di controllo periodici.

Ora il nuovo DPR 74/2013 indica chiaramente che l’eventuale terzo responsabile dell’impianto è responsabile di tutte le carenze normative dello stesso e, in caso di non accettazione della nomina come terzo responsabile, tale responsabilità ricade sull’Amministratore del condominio. Per le relative sanzioni si rimanda all’articolo 15, comma 5, del decreto legislativo del 19 agosto 2005, n. 192 (sanzione amministrativa da 500 a 3.000 euro).

In caso di interventi che si rendessero necessari per adeguare l’impianto alle normative, la segnalazione del terzo responsabile deve trovare risposta positiva in tempi brevi (10 giorni), altrimenti la carica di terzo responsabile decadrà automaticamente.

Inoltre il terzo responsabile dovrà comunicare in tempi rapidi la sua nomina o revoca dall’incarico alla Regione o Provincia Autonoma competente che, quindi verrebbe a conoscenza immediatamente di eventuali carenze possibili.

L’incarico di terzo responsabile, poi, non può essere delegato o subappaltato ad altri soggetti manutentori e solo occasionalmente si potranno subappaltare ad altri singole attività. Questo dovrebbe porre un freno a situazioni di subappalto diffuso da parte di grandi imprese di servizi di manutenzione che, anziché svolgere con proprio personale le attività di conduzione e gestione degli impianti, sono solite subappaltare a terzi le attività di manutenzione ordinaria e, talvolta, anche il ruolo di terzo responsabile. Tale “catena di subforniture” ha provocato ribassi consistenti nei compensi del manutentore che esegue effettivamente le operazioni di conduzione  e gestione dell’impianto, senza alcun controllo sulla qualità del servizio svolto, a tutto svantaggio degli utenti degli impianti termici. In tal modo alcuni sono riusciti ad eludere l’obbligo vigente, per il manutentore terzo responsabile di impianti termici superiori ai 350 kw, di possedere la certificazione di qualità  ISO 9001, ribadita dal comma 8 dell’art. 6 (in alternativa è richiesta un’attestazione SOA difficilmente ottenibile per piccole realtà della manutenzione di impianti termici).

Le operazioni di controllo e manutenzione dell’impianto possono essere affidate a imprese abilitate ai sensi del D.M. del M.I.S.E. n. 37 del 22/01/08 (Riordino delle disposizioni in materia di attività di installazione degli impianti all’interno degli edifici). L’impresa sarà tenuta a eseguire la manutenzione conformemente alle prescrizioni tecniche dell’impianto, rappresentate da:

1. Operazioni di manutenzione e controllo con relativa frequenza documentate dal progettista dell’impianto; oppure in caso di assenza
2. Istruzioni tecniche di manutenzione e controllo con relativa periodicità definite del fabbricante;  oppure in caso di assenza
3. Operazioni di manutenzione e controllo con relativa frequenza indicate nelle norme UNI e CEI per quel tipo di impianto.

Il DPR 74/2013 stabilisce poi che (art. 7, comma 4) «Gli installatori e i manutentori degli impianti termici, abilitati ai sensi del decreto del Ministro dello sviluppo economico 22 gennaio 2008, n. 37, nell’ambito delle rispettive responsabilità, devono definire e dichiarare esplicitamente al committente o all’utente, in forma scritta e facendo riferimento alla documentazione tecnica del progettista dell’impianto o del fabbricante degli apparecchi:

a) quali siano le operazioni di controllo e manutenzione di cui necessita l’impianto da loro installato o manutenuto, per garantire la sicurezza delle persone e delle cose;

b) con quale frequenza le operazioni di cui alla lettera a) vadano effettuate. »

Compito dell’Amministratore è l’acquisizione dei documenti che raccolgono l’attività e le operazioni di controllo e manutenzione dell’impianto.

Il nuovo Decreto apporta nuovamente modifiche al preesistente “Libretto di Centrale” o “Libretto di Impianto”, istituendo il nuovo “Libretto di impianto per la climatizzazione”:  ogni impianto dovrà essere munito dell’apposito libretto che dovrà essere comunque mantenuto anche in caso di passaggio di impianto autonomo o di vendita dell’unità immobiliare o dell’immobile.

Se l’Amministratore ha delegato l’incarico di controllo dell’impianto ad un terzo responsabile sarà tenuto ad informarsi se il libretto esiste ed è aggiornato e dovrà anche accertarsi se i rapporti di efficienza energetica (allegati al libretto d’impianto) sono aggiornati, integrati e indicizzati correttamente. Questi rapporti di controllo conterranno una sezione, strutturata come check-list, dove potranno essere riportati i possibili interventi migliorativi al rendimento energetico dell’impianto in modo economicamente conveniente.

I controlli dell’efficienza energetica dell’impianti sono regolamentati dall’art. 8 relativamente a tipi di controllo, frequenza (periodica o in occasione di modifiche apportate all’impianto) e modalità di registrazione (con riferimento all’allegato A del Decreto). Il nuovo “Rapporto di controllo di efficienza energetica” – che sostituirà il vecchio rapporto di controllo – dovrà essere conservato in copia dall’Amministratore assieme al libretto d’impianto (attualmente sono rari i casi in cui l’Amministratore del Condominio si preoccupa di ciò, delegando implicitamente tale compito al manutentore); tale rapporto dovrà anche essere trasmesso informaticamente alla Regione o Provincia Autonoma competente. Questo porterà a modificare alcune prassi applicate dai manutentori, ma richiederà che gli Enti preposti si attrezzino tempestivamente per accogliere tali rapporti e, auspicabilmente, effettuino controlli in casi di anomalie registrate.

Il Decreto definisce anche che se il generatore di calore, durante le operazioni di controllo, risulta avere rendimenti di combustione inferiori ai limiti stabiliti, esso deve essere oggetto di interventi per essere ricondotto ai valori fissati. Se l’intervento comporta delle spese, esse dovranno ottenere l’approvazione dell’assemblea, ma resta comunque l’obbligo di sostituire il generatore non in regola entro 180 giorni dalle operazioni di verifica.

Analoghe prescrizioni sono stabilite per macchine frigorifere e pompe di calore, nonché per impianti di cogenerazione dell’energia.

Il Decreto prevede anche l’incompatibilità fra il venditore di energia e il ruolo di terzo responsabile, a meno che la fornitura non sia regolata dal cosiddetto “Contratto di Servizio Energia” regolato dal D.Lgs. n. 115 del 30/05/2008 (Attuazione della direttiva 2006/32/CE relativa all’efficienza degli usi finali dell’energia e i servizi energetici), cioè un contratto che disciplina l’erogazione dei beni e servizi necessari alla gestione ottimale ed al miglioramento del processo di trasformazione e di utilizzo dell’energia.

L’art. 9 del Decreto sancisce che le autorità competenti dovranno effettuare delle ispezioni per verificare l’efficienza energetica degli impianti e la loro conformità alle normative vigenti ed al progetto dell’impianto. Tali ispezioni, non previste per gli impianti più piccoli (di potenza inferiore ai 10 kw), possono essere delegate ad enti esterni a Regioni e Province, ma possono anche essere sostituite dai rapporti di controllo emessi dai manutentori per gli impianti minori (impianti termici di potenza fra 10 e 100 kw).

Le ispezioni, che sono regolamentate dall’Allegato C del Decreto (è richiesta indipendenza dall’impianto e dall’installatore, competenza professionale e conoscenza delle norme), verranno effettuate dando priorità agli impianti più critici (quelli per i quali non si è ricevuto rapporto di controllo, quelli più vecchi, ecc.).

Le Regioni e le Province Autonome avranno poi un certo margine di discrezionalità per poter variare alcuni parametri del Decreto, tra cui le modalità di accreditamento degli organismi a cui delegare le ispezioni sugli impianti.

Il DPR 74/2013, infine, abolisce alcuni articoli del DPR 412/1993.

In conclusione il Decreto in oggetto richiederà un adeguamento delle prassi e delle procedure delle imprese che erogano servizi di manutenzione, conduzione e gestione di impianti termici in qualità di terzo responsabile. Essendo la maggior parte di tali organizzazioni certificate UNI EN 9001 per poter operare su impianti termici di potenza superiore ai 350 kw, esse dovranno revisionare al più presto il loro sistema di gestione per la qualità, adeguandolo alle nuove procedure che non potranno più ammettere situazioni ambigue di assunzione di incarichi di terzo responsabile su impianti non conformi alla normativa vigente relativamente sicurezza e all’efficienza energetica degli impianti. Sarà poi compito degli auditor degli organismi di Certificazione verificare il rispetto delle nuove disposizioni di legge, senza ammettere deroghe.

Anche gli Amministratori condominiali, il cui operato è stato recentemente regolamentato dalla riforma del condominio, non potranno più evitare di assumersi le responsabilità per impianti non conformi e dovranno riferire all’assemblea condominiale le situazioni anomale segnalate dal manutentore.

DPR n. 74 del 16-04-2013

DPR74-2013-AllA

DPR74-2013-AllB

DPR74-2013-AllC

 

Il Decreto del Ministero dell’Ambiente e della tutela del territorio e del mare del 12 aprile stabilisce che l’avvio dell’operatività del Registro telematico delle persone e delle imprese certificate (registro f-gas), che il decreto del 31 gennaio 2013 aveva fissato al 12 aprile 2013, è differito di 60 giorni al fine di garantire a tutte le imprese la possibilità di iscriversi.

Dunque le imprese potranno ottenere il certificato provvisorio iscrivendosi al Registro entro l’11/06/2013, poi quello definitivo entro il 09/10/2013, dopo la certificazione (dell’attuazione del piano della qualità) da parte dell’Organismo accreditato, indicando il personale impiegato per quest’attività, che deve essere, pertanto, già iscritto al Registro.

Tale proroga consentirà ai soggetti interessati di frequentare con più tranquillità il corso per l’ottenimento del cosiddetto “Patentino del Frigorista” e di concentrarsi successivamente sulla redazione ed attuazione del Piano della Qualità.

Leggi l’articolo precedente per maggiori informazioni.

Viceversa si ricorda che

L’Associazione ITACA (Istituto per l’innovazione e trasparenza degli appalti e la compatibilità ambientale, Associazione federale delle Regioni e delle Province autonome) ha emanato, ormai da un paio d’anni, un protocollo che individua un Sistema di accreditamento e certificazione della sostenibilità ambientale delle costruzioni (http://www.itaca.org/valutazione_sostenibilita.asp). Attraverso accordi con ACCREDIA è così nato un sistema che dovrebbe permettere ad Enti terzi indipendenti di certificare la sostenibilità delle costruzioni fin dalla loro progettazione.

Il sistema si configura attraverso i protocolli di valutazione (sono stati pubblicati 4 protocolli: residenziale, uffici, edifici industriali ed edifici commerciali) caratterizzati da una metodologia e da requisiti tecnico-scientifici comuni.

Per la valutazione degli edifici secondo il protocollo ITACA è stato anche sviluppato un software di calcolo disponibile gratuitamente sul web (http://www.proitaca.org/) che permette – mediante il sistema a punteggi pesati – di valutare l’opera progettata dal punto di vista della sostenibilità ambientale.

Alcune amministrazioni pubbliche italiane utilizzano il protocollo ITACA per valutare la qualità ambientale e la sostenibilità delle opere progettate.

Accanto ai 4 protocolli nazionali sono nati alcuni protocolli Regionali (attualmente 11) che consentono una contestualizzazione alle peculiarità territoriali delle Regioni, pur mantenendo la medesima struttura, sistema di punteggio e di pesatura; un aspetto particolarmente importante per l’Italia, caratterizzata da profili climatici e da prassi costruttive diverse.
I criteri di valutazione sono organizzati in aree tematiche: Qualità del sito, Consumo delle risorse, Carichi ambientali, Qualità ambientale indoor, Qualità del servizio. In base alla specifica prestazione, per ogni criterio e sotto-criterio l’edificio riceve un punteggio che può variare da -1 a +5, dove 0 rappresenta la performance minima accettabile, determinata in riferimento alle norme tecniche italiane e alla legislazione vigente oppure alla prassi costruttiva standard.

ITACA prevede  che l’Organismo di Progettazione effettui un’autovalutazione sul progetto mediante il protocollo, che viene successivamente analizzata e validata dall’Organismo di Certificazione.

In questo ambito è nato uno Schema di Legge Regionale per l’Edilizia Sostenibile (scaricabile dal sito ITACA dove sono disponibili anche i riferimenti a tutta la normativa Regionale sulla sostenibilità energetica ed ambientale.

Legati all’edilizia sostenibile secondo il protocollo ITACA, sono nate forme di finanziamento agevolato  (ad es. AEDIFICA Bioedilizia di Intesa SanPaolo) per le imprese di costruzioni che intendono privilegiare la qualità e la sostenibilità dell’edificio ed agevolazioni anche per i clienti finali/utenti dell’opera che beneficeranno dei vantaggi di un edificio costruito con criteri di sostenibilità.

Le finalità di questo sistema di certificazione della sostenibilità ambientale sono sicuramente condivisibili ed eccellenti per promuovere uno sviluppo sostenibile delle costruzioni, fin dal progetto dell’opera, che non può che far bene al Paese nell’ottica di investimenti duraturi che portano vantaggi concreti alla collettività presente e futura. Bisognerà però vedere, come al solito, quali saranno le modalità attuative del protocollo ITACA e della relativa certificazione, soprattutto da parte di chi è in grado di realizzare in modo serio i principi di sostenibilità, ovvero le Pubbliche Amministrazioni che lo stanno adottando, gli Enti di Certificazione che lo valuteranni e lo Stato che dovrà inevitabilmente promuovere l’edilizia sostenibile attraverso incentivi ed investimenti opportuni.

L’esperienza della verifica del progetto ai fini della sua validazione secondo il D.Lgs 163/2006 e il DPR 207/2010 finora ha fatto emergere progetti di opere pubbliche di scarsa qualità che le P.A. cercano in tutti i modi di validare e portare in appalto con tempistiche inadeguate (lunghi periodi di latenza alternati da brusche accellerate nell’imminenza delle scadenze previste). Tali progetti spesso sono ben lontani non solo da requisiti di sostenibilità ambientale, ma anche di usabilità e manutenibilità nel tempo dell’opera.

In pratica il protocollo ITACA ha codificato attraverso un sistema di misurazione pesato le regole e le buone prassi esistenti che però spesso sono inattuate, essenzialmente per motivi economici e di scarsa competenza in materia da parte dei soggetti coinvolti. Solo la volontà ed il cambio di mentalità da parte dei soggetti sopra indicati potrà fare del protocollo ITACA un sistema veramente efficace per valutare e promuovere l’edilizia sostenibile, almeno negli ambiti (residenziale, uffici, ecc.) previsti per ora dal protocollo.

Protocollo ITACA per Edifici Residenziali: PROTOCOLLO ITACA 2011_R_070512

Linee guida protocollo ITACA

 

 

 

 

 

La norma internazionale ISO/IEC 17021:2011 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – revisione della ISO/IEC 17021:2006, applicabile agli organismi che effettuano la certificazione dei sistemi di gestione aziendale (SGQ, SGA, SCR, SSI, FSM, ecc) è entrata completamente in vigore il  1° febbraio 2013 termine ultimo per l’implementazione della norma da parte degli Organismi di Certificazione.

La norma prescrive nuovi requisiti per la conduzione degli audit da parte degli organismi di certificazione e per la competenza degli auditor, con l’obiettivo di accrescere il valore della certificazione per le organizzazioni del settore pubblico e privato e per i loro utenti, assicurando l’affidabilità dei certificati ISO 9001, 14001, 22000 e altri.

Nel corso dei prossimi mesi vedremo se gli intendimenti dell’Ente normatore saranno stati rispettati in un settore, quello delle certificazioni, ove il mercato e l’opinione pubblica ha sminuito il valore delle certificazioni ISO da quando, ad inizio anni ’90, le prime aziende italiane avevano approcciato entusiaste questo nuovo sistema per attestare la propria attenzione alla qualità del prodotto e del servizio ed alla soddisfazione del cliente.

Oggi, leggendo la nuova norma con l’esperienza dell’ultimo decennio di certificazioni, verrebbe da dubitare che le cose cambino solo perché l’ISO ha deciso di revisionare la norma precedente che, comunque, avrebbe già dovuto dare adeguate garanzie al mercato sulle certificazioni rilasciate.

Sarebbe opportuno riflettere su alcuni passi della norma per ripensare a quello che è stato fatto in questi ultimi anni.

Sui requisiti relativi a indipendenza, imparzialità ed assenza di conflitti di interesse non varrebbe la pena di perdere tempo in “valutazioni dei rischi di imparzialità”, tanto il più grosso conflitto di interesse è sicuramente quello che l’organizzazione certificanda è il cliente dell’Organismo di Certificazione (OdC) e che, quindi, lo paga direttamente: come potrà l’OdC mettersi di traverso nei confronti di chi lo paga? Di questi tempi poi…

Ad esempio la ISO 17021 prescrive che l’audit di fase 1 (o stage 1, noto anche come verifica documentale) deve essere eseguito per:

a)      sottoporre ad audit la documentazione del sistema di gestione del cliente (tutta o solo il Manuale Qualità e le procedure obbligatorie per lo schema SGQ?);

b)      valutare la localizzazione e le condizioni particolari del sito del cliente e intraprendere uno scambio d’informazioni con il personale del cliente al fine di stabilire il grado di preparazione per l’audit di fase 2 (il classico “giro in azienda” per prendere visione di tutte le attività svolte, dei vari stabilimenti ed unità operative e per rendersi conto di eventuali criticità dal punto di vista della qualità del prodotto, della sicurezza o delle disposizioni ambientali a seconda dello schema applicabile);

c)      riesaminare lo stato e la comprensione del cliente riguardo i requisiti della norma, con particolare riferimento alla identificazione di prestazioni chiave o di aspetti, processi, obiettivi e funzionamento significativi del sistema di gestione (ovvero: il cliente ha capito cosa significa certificazione del sistema di gestione?);

d)      raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, i processi e la(e) localizzazione(i) del cliente, compresi i relativi aspetti legali e regolamentati e la conformità ad essi (per esempio qualità, ambiente, aspetti legali relativi all’attività del cliente, rischi associati, ecc.);

e)      riesaminare l’assegnazione di risorse per l’audit di fase 2 e concordare con il cliente i dettagli dell’audit di fase 2 (se non ci si è capiti bene in fase di offerta e si ritiene che siano necessari più giorni/uomo del previsto per svolgere l’audit è il momento di dirlo);

f)       mettere a fuoco la pianificazione dell’audit di fase 2, acquisendo una sufficiente conoscenza del sistema di gestione e delle attività del sito del cliente, con riferimento ai possibili aspetti significativi (raccolti tutti gli elementi importanti ci si aspetta un piano di audit basato sui processi reali dell’azienda e ben strutturato);

g)      valutare se gli audit interni e il riesame da parte della direzione siano stati pianificati ed eseguiti e che il livello di attuazione del sistema di gestione fornisca l’evidenza che il cliente è pronto per l’audit di fase 2 (normalmente in fase di verifica di stadio 1 non sono stati fatti tutti gli audit interni e nemmeno il riesame che segue ad essi, altrimenti l’organizzazione sarebbe già pronta per la fase 2, ma è opportuno invece anticipare lo stage 1 per capire se si sta andando nella direzione giusta).

Secondo la norma per la maggior parte dei sistemi di gestione, è raccomandato che almeno una parte dell’audit di fase 1 sia effettuata presso le sedi del cliente per poter conseguire gli obiettivi sopra stabiliti, ma personalmente non credo che gli obiettivi possano essere perseguiti senza mettere piede in azienda; purtroppo la norma dà la possibilità agli Organismi di Certificazione di fare un po’ come vogliono per risparmiare tempo.

Lo scopo dell’audit di fase 2 è di valutare l’attuazione, compresa l’efficacia, del sistema di gestione del cliente. L’audit di fase 2 deve aver luogo presso il(i) sito(i) del cliente e deve riguardare almeno quanto segue:

a) le informazioni e le evidenze circa la conformità a tutti i requisiti della norma del sistema di gestione applicabile o di altro documento normativo;

b) il monitoraggio, la misurazione, la rendicontazione e il riesame delle prestazioni, con riferimento agli obiettivi ed ai traguardi fondamentali delle prestazioni stesse (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo);

c) il sistema di gestione del cliente e le prestazioni con riferimento al rispetto delle prescrizioni legali;

d) la tenuta sotto controllo dei processi del cliente;

e) gli audit interni e il riesame da parte della direzione;

f) la responsabilità della direzione per le politiche del cliente;

g) i collegamenti fra i requisiti normativi, la politica, gli obiettivi ed i traguardi delle prestazioni (coerentemente alle attese della norma del sistema di gestione applicabile o di altro documento normativo), tutte le prescrizioni legali applicabili, le responsabilità, la competenza del personale, le attività, le procedure, i dati di prestazioni e le risultanze e le conclusioni degli audit interni.

Sottolineato che naturalmente tutti i punti della norma devono essere trattati in modo esaustivo, occorre rilevare che la verifica delle attività di monitoraggio e misurazione, i cosiddetti indicatori che dovrebbero permettere di tenere sotto controllo l’andamento dei processi, dovrebbero essere valutati con spirito critico, verificando se nella sostanza sono realisticamente calcolati e sono utili a monitorare i processi.

Riguardo alle prescrizioni legali gli auditor degli OdC spesso sono “deboli” nei confronti dell’impresa, nel senso che non vanno a fondo nel verificare il rispetto dei requisiti cogenti sul prodotto e non hanno sufficiente conoscenza degli stessi per capire se i processi sono conformi.

Infine anche la coerenza fra tutti gli aspetti elencati del sistema di gestione non può essere valutata soltanto spuntando un’arida check-list, ma occorre interrogare in modo intelligente il personale aziendale ed aver il coraggio di emettere osservazioni al riguardo se si rileva che, ad es. il SGQ, non è coerente con le attività dell’organizzazione e viaggia su un binario parallelo all’operatività aziendale.

Gli audit di sorveglianza sono audit sul campo, ma non sono necessariamente audit dell’intero sistema e devono essere pianificati unitamente alle altre attività di sorveglianza, in modo che l’organismo di certificazione possa continuare ad aver fiducia che il sistema di gestione certificato continui a rispettare i requisiti nel periodo intercorrente fra gli audit di rinnovo della certificazione. Il programma di audit di sorveglianza deve comprendere almeno:

a) audit interni e riesami da parte della direzione;

b) un riesame delle azioni intraprese a seguito delle non conformità identificate durante il precedente audit;

c) trattamento dei reclami;

d) efficacia del sistema di gestione nel conseguimento degli obiettivi del cliente certificato;

e) avanzamento delle attività pianificate, finalizzate al miglioramento continuo;

f) continua tenuta sotto controllo delle attività;

g) riesame di ogni modifica; e

h) utilizzo di marchi e/o di ogni altro riferimento alla certificazione.

Qui occorre enfatizzare il fatto che i sistemi (qualità, ambiente, sicurezza,…) morti o quasi non devono essere mantenuti certificati soltanto perché il cliente paga l’OdC, ma l’azienda certificata deve  essere sollecitata ad adempiere a tutte le prescrizioni, compresa la risoluzione delle anomalie segnalate nell’audit precedente. Solo la verifica in accompagnamento di ACCREDIA, scegliendo casualmente il cliente, può effettivamente valutare se l’OdC svolge correttamente il proprio compito.

Infatti la norma richiede che l’organismo di certificazione deve mantenere la certificazione basandosi sulla dimostrazione che il cliente continui a rispettare i requisiti della norma relativa al sistema di gestione.

Lo scopo dell’audit di rinnovo della certificazione è quello di confermare la conformità continua e l’efficacia del sistema di gestione nel suo complesso, nonché la continua pertinenza ed applicabilità al campo di applicazione della certificazione.

L’audit di rinnovo della certificazione deve prendere in considerazione le prestazioni del sistema di gestione nell’arco del periodo di certificazione e deve comprendere il riesame dei precedenti rapporti di audit di sorveglianza.

L’audit di rinnovo della certificazione deve comprendere un audit su campo che accerti quanto segue:

a) l’efficacia del sistema di gestione nella sua globalità, alla luce di modifiche interne ed esterne, e la sua continua pertinenza ed applicabilità al campo di applicazione della certificazione;

b) l’impegno dimostrato a mantenere l’efficacia ed il miglioramento del sistema di gestione al fine di rafforzare le prestazioni complessive;

c) se l’operatività del sistema di gestione certificato contribuisce al conseguimento della politica e degli obiettivi dell’organizzazione.

Può essere necessario che l’organismo di certificazione esegua audit senza preavviso a clienti certificati per indagare sui reclami, o in seguito a modifiche o come azione conseguente nei confronti di clienti cui è stata sospesa la certificazione. In tali casi:

a) l’organismo di certificazione deve descrivere e rendere noto in anticipo ai clienti le condizioni in base a cui sono eseguite queste visite senza preavviso;

Questi audit senza preavviso, se veramente attuati, potrebbero essere il punto forte di tutto il sistema di accreditamento delle certificazioni, ma bisogna vedere se lo si vorrà mettere in pratica.

Al punto 9.1.9.6.1 (Identificazione e registrazione delle risultanze dell’audit) si richiede che le risultanze dell’audit, che sintetizzano le conformità e forniscono dettagli circa le non conformità e il relativo supporto dell’evidenza dell’audit, debbano essere registrate e riportate per consentire una decisione informata circa la certificazione o del relativo mantenimento.

Questo significa maggiore precisione nella raccolta di evidenze nel corso dell’audit per attestare non solo gli aspetti negativi (non conformità, osservazioni), ma anche quelli positivi (evidenze che attestano la conformità dei processi).

Questa maggiore richiesta di informazioni da parte della norma e, quindi, dell’Organismo di accreditamento (ACCREDIA) nei confronti degli OdC non fa altro che caricare gli auditor di un ulteriore fardello: la documentazione delle evidenze raccolte per dimostrare la conformità o la non conformità delle attività e dei processi verificati alla norma di riferimento. Il rovescio della medaglia è che gli auditor perdono più tempo a raccogliere e scrivere evidenze (findings) che a svolgere un audit efficace. Anche perché il proprio ente di certificazione ed ACCREDIA gli chiederanno soprattutto prove per dimostrare di aver fatto il proprio lavoro correttamente.

Oggi molti OdC hanno abbandonato le check-list per punti della norma e registrano evidenze in formato libero all’interno di una struttura ben definita riconducibile ai capitoli della norma o a i processi aziendali. L’impiego delle nuove tecnologie è stato finora ridotto alla registrazione direttamente su PC portatile delle evidenze e, successivamente, del rapporto di audit. Alcuni auditor scrivono il rapporto direttamente nel portale web dell’Organismo, spesso impiegando molto tempo per lentezza della connessione o del sistema o imperizia.

A fronte dell’esigenza di documentare in modo più preciso e trasparente le prove dell’audit senza sovraccaricare di lavoro l’auditor – che spesso è un consulente esterno che potrebbe distogliere la propria attenzione dall’audit vero e proprio se viene valutato in base alla correttezza e completezza delle evidenze raccolte – occorre cambiare il sistema di gestione degli audit.

Oggi esistono tecnologie che permettono lo svolgimento dell’audit con il supporto di un tablet di ultima generazione per svolgere audit nei reparti produttivi e nei cantieri – in modo molto più efficiente rispetto a un notebook – e per registrare la verifica di un punto della check-lsit e le evidenze, attraverso software appositi, in modo molto più veloce. Tali sistemi (dispositivi portatili e relativo software) non solo consentono di raccogliere evidenze e redigere il rapporto di audit su PC in modo più efficiente, ma permettono anche di effettuare registrazioni multimediali e georeferenziate (registrazioni audio e video, foto e scansioni di documenti con posizione GPS ed orario esatto) che garantiscono l’Organismo di Certificazione e ACCREDIA che l’audit è stato effettivamente svolto, visionando documenti e processi reali, nei tempi e luoghi stabiliti.

Infine forniamo alcune considerazioni sulle appendici della norma.

L’Annex D indica – circa l’Audit report – che Il responsabile del gruppo di audit deve garantire che sia elaborato il rapporto di audit e deve essere responsabile del suo contenuto.

Riprendendo i contenuti di una presentazione ACCREDIA sulla norma ISO 17021 liberamente scaricabile dal sito dell’Ente, mi sento di condividere quanto segue.

Il lead auditor, consapevole delle responsabilità civili e delle sanzioni penali per dichiarazioni false e mandaci:

• Considera il campionamento svolto sufficiente a determinare le conclusioni del presente report inclusa la verifica di conformità degli aspetti legali secondo quanto previsto dallo schema di riferimento,
• Dichiara, sotto la sua completa responsabilità, di aver svolto la verifica secondo le procedure prestabilite inclusa la tempistica e le metodologie di controllo,
• Dichiara, anche a seguito delle informazioni raccolte durante la verifica, di non avere o essere a conoscenza di possibili conflitti di interesse secondo quanto previsto dalle procedureo dalle prassi di riferimento del settore.

Il responsabile aziendale firmatario del report di verifica dichiara, con specifico riferimento all’attività oggetto di verifica e al campo di applicazione della certificazione, dichiara

• di non essere a conoscenza di fatti, contenziosi o provvedimenti legali
• né di aver omesso o falsato informazioni
• né di essere a conoscenza di situazioni di conflitto di interesse tra il Gruppo di Verifica e la propria organizzazione tale per cui possa essere pregiudicata la validità del certificato o la conformità alle norme cogenti e volontarie applicabili, secondo quanto previsto dal regolamento sottoscritto in fase di domanda di certificazione.

Sulla responsabilità dell’auditor/lead auditor relativamente alle osservazioni formulate (e quelle non formulate) e sulle responsabilità dell’Organismo di Certificazione non si è ancora chiarito abbastanza su chi gravano le responsabilità – e le relative conseguenze in sede civile e penale – in caso di rilascio di certificazioni di sistema “non meritate”.

Alcuni OdC fanno sottoscrivere all’impresa certificanda una sorta di assunzione di responsabilità da parte della stessa in caso di mancato adempimento di prescrizioni cogenti tenute deliberatamente nascoste agli auditor ed all’Ente di Certificazione, ma molti ritengono che per l’affidabilità dell’intero sistema delle certificazioni ISO tale prassi non sia accettabile.

Con la Delibera Regionale n. 156 (“Approvazione atto di indirizzo e coordinamento sui requisiti di rendimento energetico e sulle procedure di certificazione energetica degli edifici.”) la Regione Emilia Romagna ha stabilito precisi criteri per la certificazione energetica degli edifici. La normativa, molto severa e avanzata rispetto al panorama nazionale, prevede regole precise per la classificazione energetica degli edifici e la manutenzione dei relativi impianti. Attraverso moduli a lettura ottica e rilevazione dati direttamente nel sistema informatico istituito dalla Regione, sarà forse possibile tenere sotto controllo la regolarità – dal punto di vista energetico – di tutti gli edifici della Regione Emilia Romagna. Il sistema dei controlli a campione (5% del totale dei certificati energetici) che la Regione sta mettendo in piedi non permetterà più a proprietari, Amministratori Condominiali, progettisti, installatori di impianti e manutentori (questi ultimi quasi tutti certificati ISO 9001) di non rispettare le regole stabilite da leggi e normative passate, infatti la certificazione energetica dovrà recepire certificazioni di conformità degli impianti che finora gli Amministratori condominiali si rifiutavano di consegnare ai manutentori Terzi Responsabili (probabilmente perchè mancanti), i quali assumevano incarichi e responsabilità relative su impianti lontani dalla conformità normativa. Vedremo se i controlli riusciranno a sanare un settore non sempre in linea con la conformità legislativa, pretesa in sede di compravendita degli immobili.

Si allega il testo completo della delibera.

Delibera Regione Emilia Romagna n. 156