P r e s e n t a z i o n e  

L’audit rappresenta uno degli strumenti di miglioramento fondamentali per determinare il successo di un Sistema di Gestione e il raggiungimento degli obiettivi aziendali.

L’audit interno secondo la ISO IEC 27001 è un’attività di controllo sul Sistema di Gestione della Sicurezza delle informazioni e ha come fine quello di migliorare l’efficacia e l’efficienza della gestione dei rischi relativi alla sicurezza delle informazioni, dell’analisi delle vulnerabilità e dei controlli di sicurezza. 

L’Internal Auditor per la ISO IEC 27001 è oggi una figura sempre più importante all’interno delle aziende, visti i rischi crescenti in ambito sicurezza delle informazioni e cybersecurity, e ha il compito innanzitutto di:

• Verificare l’adeguatezza del Sistema di Gestione per la sicurezza delle informazioni rispetto alla norma ISO 27001,
• Svolgere o coordinare analisi delle vulnerabilità ed effettuare controlli di sicurezza,
• Supportare il Management nelle decisioni relative alla sicurezza delle informazioni,
• Verificare la conformità dei processi aziendali a politiche, piani, procedure, leggi e regolamenti, quali ad esempio la Direttiva NIS 2.

Gli audit interni svolti dall’Internal Auditor in ottica ISO IEC 27001 prevedono attività di controllo in campo e documentale e delle interviste alle persone, applicando le tecniche di auditing specifiche previste dalla norma internazionale ISO 19011:2018.

La norma ISO 19011:2018 “Linee guida per audit di sistemi di gestione”, emessa nel luglio 2018, rappresenta il riferimento base per la conduzione degli audit stessi, prevede la “qualifica” per gli auditor interni all’azienda e cambia la prospettiva dell’audit interno, che diventa soprattutto un audit di efficacia e non più, come spesso avveniva in precedenza, un audit di conformità.

Il corso consente di acquisire conoscenze e competenze relative sia all’applicazione della norma ISO IEC 27001:2022 per Sistema di Gestione per la Sicurezza delle Informazioni, sia alle tecniche di audit secondo la norma ISO 19011:2018.

Alla fine del corso verranno rilasciati i seguenti titoli:

• Attestato di formazione per la qualifica di Auditor Interno dei sistemi di gestione della sicurezza delle informazioni UNI EN ISO/IEC 27001:2022.
• Attestato di formazione per la qualifica di Auditor di parte prima (audit interni all’azienda) e di parte seconda (audit su fornitori/appaltatori dell’azienda), in conformità alla norma UNI EN ISO 19011:2018.

Sono previsti anche approfondimenti sulla gestione degli audit a distanza.

P r o g r a m m a  

Le finalità degli audit

• Audit di conformità, audit di efficacia e audit di performance
• La ricerca del miglioramento

Il quadro normativo di riferimento

• Scopo e campo di applicazione della norma ISO/IEC 27001:
• L’approccio alla gestione dei rischi e ai processi
• Correlazione con la ISO/IEC 27002 e agli altri standard della famiglia ISO/IEC 27000
• L’interpretazione dei requisiti della ISO/IEC 27001
• Analisi, valutazione e trattamento del rischio;
• I controlli di sicurezza applicabili proposti dall’Annex A della ISO/IEC 27001
  e dalla ISO/IEC 27002
• Il modello organizzativo della sicurezza: il ciclo Plan-Do-Check-Act del miglioramento continuo.

• Scopo e campo di applicazione della norma UNI EN ISO 19011:2018
• Il riferimento valido per tutti i Sistemi di gestione: per la qualità, l’ambiente, la sicurezza, la responsabilità sociale, la responsabilità amministrativa, l’energia, la sicurezza dei dati e
• dell’informazione, l’anticorruzione, ecc.
• Il principio di integrazione delle attività di audit per i Sistemi di gestione

La nuova norma ISO 19011:2018 “Linee guida per audit di sistemi di gestione”

• Principi dell’attività di audit
• Gestione di un programma di audit
  • Definizione degli obiettivi del programma
  • Determinazione e valutazione dei rischi e delle opportunità del programma di audit
  • Definizione, attuazione e monitoraggio del programma di audit
  • Riesame e miglioramento del programma
• Conduzione di un audit
  • Preparazione
  • Esecuzione
  • Registrazione
  • Follow up

Competenza e valutazione degli auditor

• Determinazione della competenza degli auditori
• Definizione dei criteri di valutazione dell’auditor
• Selezione del metodo appropriato di valutazione dell’auditor
• Conduzione della valutazione dell’auditor
• Mantenimento e miglioramento della competenza di auditor

Tecniche di intervista

• La preparazione della scaletta per l’incontro di audit
• Il contratto psicologico con l’interlocutore
• Come entrare in sintonia
• L’arte delle domande
• Cogliere i segnali deboli e comprendere il metamessaggio

Allenarsi all’ascolto 

• Elementi chiave dell’ascolto
• Entrare in sintonia con gli altri
• Saper entrare in empatia
• Saper leggere il non verbale

Esercitazioni individuali e lavori di gruppo

Test finale di apprendimento (esercitazione individuale)