Sia la ISO 14001:2026 (sistemi di gestione ambientale) che la ISO 45001:2018 (sistemi di gestione per la salute e sicurezza sul lavoro) richiedono alle organizzazioni di valutare le proprie prestazioni attraverso processi di audit. Le due norme distinguono chiaramente tra due attività che, pur complementari, hanno natura, oggetto e finalità profondamente diverse.
L’audit di conformità legislativa valuta il rispetto delle leggi applicabili all’organizzazione.
L’audit del sistema di gestione analizza se il sistema funziona come progettato ed individua ambiti di miglioramento.
Sono due strumenti distinti con specifiche peculiarità; in questo articolo cerchiamo di comprenderne le differenze e similitudini specificatamente nel contesto delle norme citate.
Indice degli argomenti
Il quadro normativo di riferimento
Sia la ISO 14001:2026 che la ISO 45001:2018 dedicano paragrafi distinti alle due tipologie di audit, sottolineandone la separazione concettuale e operativa, come si evince nel seguente prospetto.
| Aspetto | Audit conformità legislativa | Audit sistema di gestione |
|---|---|---|
| Oggetto della verifica | Leggi, decreti, autorizzazioni cogenti | Politiche, procedure, capitolati clienti, requisiti ISO della/e norme del Sistema di Gestione (integrato) applicato |
| Copertura del campione | 100% dei requisiti applicabili — nessuna esclusione | Campione rappresentativo (approccio risk-based) |
| Perimetro definito da: | Autorità esterne (legislatore) | Organizzazione, requisiti contrattuali dei clienti, norma/e ISO del Sistema di Gestione (integrato) applicato |
| Esito non conformità | Violazione di legge — sanzioni, blocchi operativi | Risoluzione di problematiche tramite la rimozione della causa all’origine, opportunità di miglioramento del sistema di gestione |
| Frequenza | Continua, oltre che a seguito di aggiornamenti normativi/regolatori e modifiche (vedi anche ISO 14001 e ISO 45001 requisito 6.3) | Secondo il programma pianificato e di norma annuale |
| Informazioni documentate | Obbligatorie | Obbligatorie |
| Rif. ISO 14001:2026 | §9.1.2 Valutazione della conformità | §9.2 Audit interno |
| Rif. ISO 45001:2018 | §9.1.2 Valutazione della conformità | §9.2 Audit interno |
Approfondiamo ora nel dettaglio i due tipi di audit.
L’audit di conformità legislativa nel dettaglio
La valutazione di conformità (compliance evaluation) è un obbligo esplicito di entrambe le norme. L’organizzazione deve stabilire, attuare e mantenere processi per verificare periodicamente il rispetto dei requisiti legali e degli altri requisiti cogenti identificati nel perimetro del proprio registro normativo.
Caratteristiche peculiari
A differenza dell’audit interno sul sistema, la valutazione di conformità legislativa ha un perimetro definito dall’esterno. Sono le autorità — nazionali, regionali, locali — a determinare cosa deve essere verificato. Il corpus normativo applicabile può includere, ma non limitarsi a:
• D.Lgs. 81/2008 e s.m.i. (sicurezza sul lavoro);
• D.Lgs. 152/2006 e s.m.i. (testo unico ambientale);
• Direttiva 2006/42/CE (direttiva macchine);
• Autorizzazioni Integrate Ambientali (AIA) e prescrizioni allegate;
• Regolamenti REACH, CLP e normativa su sostanze pericolose;
• Prescrizioni delle ASL e delle ARPA territoriali e dei Vigili del Fuoco;
• Normativa specifica di settore (alimentare, chimico, farmaceutico, ecc.).
Un elemento critico è la dinamicità della normativa. Le leggi cambiano, vengono aggiornate, abrogate, integrate. Il processo di valutazione deve quindi essere reattivo e prevedere un monitoraggio continuo delle novità legislative, non solo controlli periodici a scadenza fissa.
Un altro elemento di criticità è rappresentato dalle modifiche che possono intervenire, come quelle a livello organizzativo o a seguito di interventi sulle infrastrutture. Anche in questo caso è necessario prevedere un presidio costante. Non a caso, nella nuova versione delle ISO 14001:2026 è stato integrato, in linea con quanto previsto dall’Annex HLS, il requisito 6.3 “Pianificazione e gestione dei cambiamenti”.
Come si conduce in pratica
- Identificazione dei requisiti applicabili Costruzione e aggiornamento del registro degli obblighi normativi applicabili all’organizzazione (per settore, attività, territorio). Questa fase deve coprire il 100% delle norme pertinenti — nessun requisito può essere escluso a priori.
- Definizione dei criteri di valutazione Traduzione dei requisiti di legge in evidenze verificabili: documenti, registrazioni, autorizzazioni, valori limite, scadenze. Per ogni requisito deve esistere almeno una evidenza documentale e tracciabile che assicura il rispetto dell’adempimento.
- Verifica sul campo — 100% dei requisiti per il 100% degli ambiti (si veda successivo approfondimento nella sezione campionamento) Analisi di documenti e registrazioni e loro revisione, ispezioni. Il confronto diretto è con il testo normativo, non con le procedure interne. Nessun requisito identificato e nessun ambito può essere omesso.
- Registrazione e comunicazione Documentazione dello stato di conformità per ogni requisito applicabile. I risultati, in particolare laddove emergessero delle criticità, devono essere comunicati al vertice dell’organizzazione e se richiesto anche ad altri organismi (es. OdV nominato ai sensi del D.Lgs 231/2001).
- Azioni correttive in caso di scostamenti Piani di rientro in conformità con tempistiche definite, distinti dalle normali azioni correttive del sistema di gestione.
Audit di conformità e ISO 19011:2026
La ISO 19011:2026 “Linee guida per audit di sistemi di gestione” dedica al tema dell’audit di conformità legislativa la sezione A.7 in appendice “Audit di conformità (compliance) nell’ambito di un sistema di gestione”. In sintesi le indicazioni fornite nell’appendice specificano che:
• il team incaricato della verifica è tenuto ad accertare che l’organizzazione abbia adottato meccanismi adeguati per individuare la legislazione pertinente
• tali meccanismi devono consentire di governare attività, prodotti e servizi in modo coerente con le prescrizioni, nonché di effettuare controlli periodici sul grado di allineamento ai requisiti cogenti applicabili.
In aggiunta alle linee guida generali presenti nella ISO 19011, nel caso di audit di conformità legislativa il team di audit è chiamato a valutare se l’organizzazione:
• tiene sotto osservazione gli aggiornamenti normativi e li recepisce nei processi di gestione delle modifiche;
• garantisce la presenza di risorse qualificate per la supervisione delle attività connesse alla conformità;
• elabora e mantiene evidenze documentali adeguate sul proprio livello di conformità, in linea con le richieste delle autorità e degli stakeholder;
• include gli aspetti di conformità nella pianificazione delle verifiche interne;
• affronta con prontezza eventuali situazioni di non conformità in ambito cogente, riscontrate;
• considera i risultati in materia di conformità nell’ambito dei riesami condotti dalla direzione.
L’audit del sistema di gestione nel dettaglio
L’audit interno del sistema di gestione valuta se il sistema è conforme ai requisiti della norma volontaria adottata (ISO 14001 e/o ISO 45001), ai requisiti interni definiti dall’organizzazione stessa, a quelli contrattuali eventualmente imposti dal cliente nei capitolati e se è efficacemente attuato e mantenuto.
Il criterio di riferimento
Nell’audit di sistema, il criterio di confronto sono le procedure, le politiche, gli obiettivi e i requisiti della norma ISO che l’organizzazione ha scelto di adottare. Inoltre, i criteri di riferimento possono essere rappresentati dai requisiti contrattuali imposti dal cliente e documentati sui capitolati. Una non conformità al sistema significa che qualcosa non funziona come l’organizzazione ha stabilito — non necessariamente implica che vi sia una violazione di legge.
Durante l’audit del sistema di gestione ovviamente si verifica anche (essendo un requisito degli standard) che: è pianificato ed attuato l’audit/gli audit di conformità legislativa, che il team di audit è qualificato, che le fonti per l’aggiornamento normativo sono affidabili e che le eventuali risultanze negative siano state trattate.
Il programma di audit deve essere proporzionale alla complessità dell’organizzazione. Non esiste un obbligo di coprire il 100% dei processi in ogni ciclo, l’importante è che nel tempo tutti i requisiti della norma e i processi rilevanti vengano verificati.
Le sinergie tra le due tipologie
Pur distinte, le due tipologie di audit si alimentano reciprocamente e costruiscono insieme un presidio di controllo i cui risultati possono alimentare altri sistemi. Ad esempio i risultati degli audit possono essere considerati dei flussi verso L’OdV nominato ai sensi del D.Lgs 231/2001. A tal proposito:
• i risultati della valutazione di conformità alimentano l’analisi dei rischi del sistema di gestione e il riesame della direzione;
• il registro degli obblighi normativi — elemento chiave della valutazione di conformità — è anche un documento del sistema che gli audit interni verificano sia aggiornato;
• le non conformità legislative, una volta rientrate, diventano spunto per migliorare le procedure interne e prevenire recidive; nel corso dell’audit sul sistema di gestione si può verificare la presa in carico di tale aspetto;
• l’audit di sistema può identificare debolezze nei processi di monitoraggio normativo, segnalando rischi di futura potenziale non conformità legislativa.
Una differenza fondamentale: copertura totale vs campione
Una delle differenze fondamentali tra l’audit di conformità legislativa e quello del sistema di gestione risiede nel campionamento, si tratta, tra l’altro di un aspetto frequentemente sottovalutato nella pratica.
Audit di conformità legislativa – Ogni requisito normativo applicabile, per ogni elemento applicabile, deve essere verificato senza eccezioni; non vale il principio del campionamento
Audit sistema di gestione – Campione rappresentativo selezionato con approccio risk-based – si veda anche quanto previsto dalla nuova versione della ISO19011:2026) A.6 Campionamento dove recita “…Il rischio associato al campionamento è che i campioni possano non essere rappresentativi della popolazione da cui sono selezionati e, quindi, la conclusione dell’auditor possa essere diversa da quella a cui si sarebbe giunti se fosse stata esaminata l’intera popolazione. Possono sussistere altri rischi in funzione della variabilità all’interno della popolazione da sottoporre a campionamento e del metodo scelto…”
Perché il 100% dell’universo va verificato nell’audit di conformità legislativa
La ragione è intrinseca alla natura del diritto. La conformità alla legge non è graduabile. Un’organizzazione non può essere “parzialmente” in regola con il D.Lgs. 81/2008 o con l’AIA (Autorizzazione Integrata Ambientale). O rispetta il requisito normativo oppure è in violazione, con le conseguenti responsabilità civili, penali e amministrative.
Questo significa che il registro degli obblighi normativi — che elenca tutti i requisiti applicabili per settore, attività e territorio — deve essere esaustivo, costantemente aggiornato e verificato nella sua totalità. Per cui, a titolo di esempio:
• ogni limite emissivo deve essere verificato;
• ogni autorizzazione deve essere in vigore e rispettata nei contenuti;
• ogni scadenza di rinnovo o comunicazione deve essere monitorata;
• ogni obbligo di formazione, sorveglianza sanitaria deve essere adempiuto;
• ogni registro o documentazione obbligatoria deve essere presente e aggiornata.
Esempio – Azienda manifatturiera – sono presenti 20 macchine utensili – l’audit di conformità legislativa deve verificare per tutte le macchine utensili che:
• sono conformi alla Direttiva Macchine;
• non sono state modificate o se lo sono state la documentazione è stata aggiornata;
• dispongano della documentazione fornita dal costruttore;
• siano effettuati, secondo la tempistica definita, i controlli (ad esempio funzionamento del tasto di arresto) e questi siano documentati;
• ecc.
Perché il campione nell’audit del sistema di gestione
L’audit del sistema di gestione segue la logica del campionamento statistico applicata alla verifica dei processi. È concettualmente inutile — verificare ogni singola attività, registrazione o applicazione procedurale, oltre che essere impossibile nel tempo, di norma, destinato all’attività di audit. L’obiettivo è invece valutare se il sistema nel suo complesso funziona come progettato ed implementato. Resta in capo alla Direzione ed ai suoi collaboratori in controllo della applicazione delle misure poste in atto. Non va dimenticato che tale tipo di audit può essere impostato per: funzione, requisito della norma di sistema di gestione applicato (norme nel caso di sistema integrato), commessa, processo.
Il campione viene selezionato in base a:
• importanza e rischio del processo verificato per il sistema di gestione;
• risultati e criticità degli audit precedenti (processi con criticità ricevono maggiore attenzione);
• ambiti di approfondimento come emersi negli audit precedenti:
• cambiamenti intervenuti nel contesto, nelle esigenze ed aspettative delle parti interessate, nell’organizzazione o nei processi;
• rotazione sistematica per garantire copertura nel tempo.
Esempio – Azienda manifatturiera, sono presenti 20 macchine utensili – l’audit del sistema di gestione deve verificare, campionandone ad esempio 5 (pari al 20%) rappresentative dell’universo delle 20, che: la manutenzione viene eseguita e registrata, il personale che le utilizza è addestrato, ecc.
Un errore frequente da evitare
Una delle trappole più comuni nella gestione dei sistemi ISO è trattare la valutazione di conformità come un semplice “capitolo” dell’audit sul sistema, applicando la stessa logica campionaria. È un errore con potenziali conseguenze gravi.
Le due attività devono essere gestite con processi, strumenti e responsabilità distinte; non a caso sono riconducibili a due diversi requisiti delle norme in questione. Ovviamente tali audit possono essere coordinati nell’ambito del programma annuale. In particolare:
• l’audit di conformità deve coprire il 100% del registro normativo — il campionamento non è ammissibile;
• l’audit di sistema può e deve usare il campionamento per essere efficiente e sostenibile;
• le competenze richieste sono diverse: giuridico-normative per la conformità, conoscenza norme ISO, procedure interne e requisiti contrattuali per il sistema;
• le registrazioni devono essere separate e chiaramente identificate.
Un sistema di gestione certificato ISO 14001 o ISO 45001 non garantisce automaticamente la conformità legislativa — e viceversa. Un’organizzazione può rispettare tutte le leggi vigenti e tuttavia avere un sistema di gestione carente, o al contrario avere un sistema eccellente e aver trascurato un’autorizzazione o un limite emissivo.
Non solo in ambito ambiente e salute e sicurezza dei lavoratori
Da segnalare che queste tipologie di audit non è richiesto solo nel contesto dell’ambiente e della salute e sicurezza dei lavoratori, ma possono essere effettuati in altri ambiti come ad esempio la sicurezza delle informazioni (ISO/IEC 27001:2022), la protezione dei dati personali (ISO/IEC 27701:2025), la prevenzione della corruzione (ISO 37001:2025), ecc. Le considerazioni sopra riportate, con gli opportuni distinguo, sono le medesime.
Conclusioni
L’audit di conformità legislativa risponde alla domanda: stiamo rispettando le leggi applicabili? e richiede la verifica del 100% dei requisiti normativi applicabili, senza eccezioni.
L’audit del sistema di gestione risponde alla domanda: il nostro sistema funziona come progettato? e si basa su un campione rappresentativo selezionato con approccio risk-based.
Entrambi gli strumenti sono necessari — ma nessuno dei due è sufficiente da solo per garantire una gestione davvero efficace di ambiente e sicurezza.
Ne consegue che la “non conformità alla legge” come può emergere da un audit di conformità legislativa non è una ‘non conformità di sistema’. È un fatto con conseguenze giuridiche dirette. La distinzione non è semantica, ma ha implicazioni operative e di responsabilità molto concrete per i vertici aziendali e gli organi di controllo.
Nota. Le norme citate sono acquistabili in www.uni.com o www.iso.org
