Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

audit

ISO 19011:2025 cosa cambia: guida alle novità

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La ISO/DIS 19011:2025 aggiorna la linea guida sugli audit dei sistemi di gestione, integrando digitale, supply chain e cambiamenti climatici. Novità su metodi da remoto, competenze degli auditor e gestione del rischio lungo il programma di audit

Pubblicato il 21 nov 2025
Monica Perego

Ingegnere, Gaiani Grinzato Avvocati

ISO 19011_2025 internal audit (1); fiscal early warning; firma elettronica

La linea guida ISO 19011, riferimento internazionale per gli audit dei sistemi di gestione, si appresta a un nuovo aggiornamento. La versione ad oggi disponibile per l’acquisto – ISO/DIS 19011:2025 – è attualmente in fase di bozza (Draft International Standard). La pubblicazione è prevista per il primo quadrimestre 2026, ad oggi come ISO 19011:2026.

Questo aggiornamento rappresenta un’evoluzione che mantiene la solidità della struttura originale, integrandola con aspetti importanti come la digitalizzazione, la sostenibilità e le nuove modalità di conduzione degli audit.

Gestione del rischio: sinergie ISO-Gdpr per la sicurezza aziendale

Continuità strutturale e applicabilità della linea guida

Gli aggiornamenti non sono da considerare “dirompenti” del resto l’impianto della linea guida è universalmente riconosciuto come eccellente, ma piuttosto tengono conto delle novità sia sul fronte organizzativo (audit a distanza) che tecnologico (es. tecnologie emergenti) che hanno caratterizzato gli ultimi anni.

Approfondiamo tali modifiche, nel contesto degli audit di prima e seconda parte, considerando che si basa sulla bozza ISO/DIS 19011:2025. Ulteriori modifiche potrebbero essere apportate prima della pubblicazione finale.

La nuova versione mantiene la struttura consolidata della linea guida, preservando l’articolazione in 7 capitoli che ha caratterizzato l’edizione precedente. Inoltre, la linea guida resta applicabile per audit rispetto ad ogni sistema di gestione e tra sistemi integrati. Questa scelta garantisce continuità e facilita la transizione per quanti hanno già familiarità con la linea guida, pur introducendo nuovi e puntuali contenuti.

Le principali novità

Una delle innovazioni più rilevanti riguarda l’introduzione formale del concetto di “metodo di audit da remoto” nel capitolo 3 dedicato alle definizioni.

Audit da remoto: una definizione formale

Il metodo definito come quello utilizzato per condurre attività di audit in qualsiasi luogo diverso dal sito dell’organizzazione oggetto dell’audit.

La linea guida specifica che:

  • i metodi di audit da remoto possono essere combinati con metodi in sito per ottenere un audit completo ed efficace;
  • possono essere applicati anche a siti virtuali, dove un’organizzazione esegue lavori o eroga servizi in ambiente online, permettendo alle persone di operare indipendentemente dalla localizzazione fisica.

Questa definizione, derivata dalla ISO/TS 17012:2024, riconosce ufficialmente una pratica ormai consolidata e accelerata dalla pandemia COVID-19. Il tema è ulteriormente approfondito in A.16.

Indipendenza degli auditor nelle piccole e medie imprese

Nel capitolo 4, dedicato ai principi dell’attività di audit, viene introdotta un’importante precisazione relativa all’indipendenza degli auditor interni. Il documento riconosce che per organizzazioni di piccole dimensioni o in casi particolari può risultare impossibile garantire la completa indipendenza degli auditor interni dall’attività sottoposta ad audit. Tuttavia, la linea guida sottolinea che “dovrebbe essere profuso ogni sforzo per eliminare i pregiudizi e favorire l’obiettività“. Questo rappresenta un approccio pragmatico che bilancia l’ideale con la realtà operativa delle PMI.

Cambiamenti climatici e tecnologie nel programma di audit

Il paragrafo 5.1 “Generalità”, relativo al programma di audit, introduce due considerazioni rilevanti di contesto:

  • i cambiamenti climatici, quando rappresentano un aspetto rilevante per l’organizzazione – – le modalità per affrontare il tema degli auditi in relazione agli aspetti relativi ai cambiamenti climatici sono affrontati, a seguito dell’introduzione dell’AMD 1:2024 “Climate change” in modo puntuale nel documento “ISO 9001 Auditing Practices Group Guidance on: Auditing Climate Change issues in ISO 9001“.
  • l’applicazione di tecnologie emergenti – la linea guida, non si limita richiedere che le tecnologie e gli strumenti digitali (es. AI, blockchain, IoT, 5G, realtà aumentata e virtuale, big data) siano oggetto di audit, ma che l’auditor sia formato per poter effettuare audit in modo efficiente (si veda anche cap. 7 “Competenza e valutazione degli auditor“.

Inoltre, le informazioni del programma di audit dovrebbero comprendere:

  • i criteri di partecipazione di osservatori ed altre figure (auditor in addestramento, esperti);
  • i fattori di contesto interno ed esterno all’organizzazione.

L’individuazione dei fattori di contesto è fondamentale per poter comprendere l’organizzazione e valutare con la massima obiettività e competenza la valutazione dei rischi e delle opportunità. Ciò permetterà di essere ancora più incisivi in fase di audit individuando anche “buone prassi” e “rischi“; risultanze queste spesso trascurate.

Rafforzamento del controllo sulla catena di fornitura

Una delle integrazioni più rilevanti riguarda l’attenzione alla catena di fornitura. Gli obiettivi del programma di audit dovrebbero considerare:

  • l’importanza dei processi affidati all’esterno;
  • le informazioni processate nella catena di fornitura;
  • il livello di accesso dell’organizzazione alle informazioni;
  • i rischi del fornitore e gli obblighi contrattuali del cliente.

La linea guida orienta quindi a rafforzare, sin dalla programmazione degli audit, l’analisi sulla catena di fornitura, riconoscendone una importanza crescente, valutando la sua importanza in relazione al contesto e determinando quindi la necessità di procedere ad audit diretti sui fornitori e/o potenziare gli audit sui quei processi che sono direttamente o indirettamente coinvolti nei rapporti con fornitori.

Gestione dei rischi nel processo di audit

Il paragrafo 5.2 “Definizione degli obiettivi del programma di audit” amplia significativamente la valutazione dei rischi, includendo oltre a quelli tradizionali anche nuove minacce relative sia al processo che all’auditor:

  • rischi nel processo – perdita di auditor, mancata disponibilità, inefficacia nell’ottenere evidenze sufficienti, problematiche nel campionamento e nella gestione del tempo;
  • rischi auditor – carenza di indipendenza e imparzialità, limitata conoscenza dei rischi e delle attività di audit.

Sin dalla fase di programmazione è quindi necessario ampliare il ventaglio dei potenziali rischi che possono incidere sui singoli audit, pianificando in anticipo contromisure. Non vengono, peraltro analogamente valorizzate invece le opportunità connesse ad una efficiente programmazione di audit, agli audit integrati e congiunti ed al ricorso a tecnologie emergenti che rendono più efficiente il processo nel suo insieme.

Innovazioni nella conduzione pratica degli audit

Alcune novità riguardano la conduzione pratica degli audit:

  • audit congiunti che comportano la necessità di coordinamento tra diversi gruppi di audit, comprese le disposizioni per il campionamento e le tempistiche;
  • riunione di apertura nel corso della quale si fornisce conferma delle evidenze da raccogliere mediante campionamento;
  • classificazione delle non conformità che prevede che quando vengono classificate, devono essere forniti i criteri utilizzati – vedi focus;
  • presa di contatto con l’organizzazione che deve essere effettuata entro un termine appropriato.

Focus classificazione delle non conformità. La linea guida non impone la classificazione dei rilievi che resta una possibilità, ma qualora si decidesse di effettuare tale classificazione i criteri devono essere trasparenti e condivisi tra auditor e tra auditor ed organizzazione oggetto di audit. La procedura per la gestione degli audit di 1^ e 2^ parte potrebbe, o meglio dovrebbe, riportare tale criterio. Da valutare anche di esplicitare la differenza tra non conformità documentali ed applicative.

Competenze digitali richieste agli auditor moderni

Il paragrafo 7.2.3 introduce requisiti fondamentali relativi alle tecnologie emergenti. Gli auditor devono sviluppare competenze su:

  • applicazione delle tecnologie emergenti come ad esempio: AI, blockchain, IoT, 5G, realtà aumentata e virtuale, big data. Tali strumenti possono essere utilizzati sia per facilitare la conduzione dell’audit (parr. 5.4.3 “Definizione dell’estensione del programma di audit” e 5.4.4. “Determinazione delle risorse del programma di audit” che per verificare processi basati su queste tecnologie;
  • appropriatezza e conseguenze nella comprensione delle implicazioni dell’uso di tecnologie emergenti, come strumenti basati su AI per la preparazione di check-list;
  • risultati indipendentemente dai metodi come la capacità di conseguire gli obiettivi dell’audit qualunque sia il metodo utilizzato.

Focus competenza degli auditor. In modo congruente anche ai riferimenti sulle tecnologie emergenti, disponibili in particolare nella appendice della ISO/DIS 9001:2025 la linea guida riconosce che le tecnologie emergenti sono ormai pervasive sia nei processi aziendali sia nei prodotti/servizi forniti ai clienti. Diventa quindi indispensabile la competenza degli auditor su questi temi per poter condurre in modo efficace il compito assegnato.

Il tema è spinoso non solo è necessario conoscere in anticipo quali tecnologie vengono applicate, ma soprattutto l’auditor deve possedere le competenze per poter valutare, nel contesto dell’audit, l’efficacia dei processi che le utilizzano. Indispensabile inoltre la conoscenza sulla normativa cogente applicabile, peraltro in continua evoluzione. È oggettivamente difficile immaginare un auditor che abbia una competenza così ampia e trasversale soprattutto se ha operato prevalentemente in contesti tradizionali.

Appendice A: guida pratica approfondita

L’Appendice A, di carattere informativo, viene significativamente arricchita.

A.1 – Metodi di audit

Rimando esplicito alla ISO/IEC TS 17012:2024 “Conformity assessment — Guidelines for the use of remote auditing methods in auditing management systems”.

Ulteriori e preziose indicazioni, ovviamente ancora con riferimenti alla versione in vigore della linea guida, sono fornite anche nei documenti del Gruppo di Pratiche di Audit (APG) dell’ISO che contiene anche le indicazioni sui metodi di audit a distanza.

A.6 – Campionamento

Il campionamento basato sul giudizio deve essere giustificato con riferimenti alla teoria del campionamento statistico e alle possibili conseguenze di rischio.

Focus campionamento sul giudizio – viene indicato che, laddove si ricorresse al campionamento basato sul giudizio, il campione deve comunque essere rappresentativo a fini statistici. Si sottolinea, in tal modo, che un campione non adeguato, dal punto di vista statistico. è una possibile fonte di rischio.

A.12 – Audit della catena di fornitura

Questa sezione fornisce una guida completa sugli audit di seconda parte, specificando che possono essere condotti per:

  • identificare e quantificare rischi prima di stipulare contratti;
  • assicurare la corretta gestione dei processi concordati;
  • sorvegliare e migliorare le prestazioni del fornitore;
  • individuare potenziali opportunità.

Audit alla catena di fornitura, oltre che in fase di qualifica di un fornitore, possono essere programmati o originati in risposta a carenze specifiche o opportunità derivanti da cambiamenti del contesto organizzativo.

A.16 – Audit a distanza

Questa sezione è completamente rinnovata rispetto alla versione 2018 – a cominciare dal titolo che era “Attività e siti virtuali” -, fornisce, anche sulla base dell’individuazione di rischi aggiuntivi oltre che considerazioni dettagliate su:

  • benefici per auditor e organizzazioni;
  • responsabilità congiunte per l’efficacia dell’attività di audit;
  • sicurezza dei dati, riservatezza e piani di emergenza tecnologica;
  • competenze aggiuntive richieste al team di audit.

Preparazione all’implementazione della nuova linea guida

È raccomandabile restare in attesa della nuova versione della linea guida prima di procedere ad attività di formazione mirata al proprio team di audit e a modificare le procedure. Ciò non toglie che le indicazioni operative suggerite possono, in tutto o in parte, essere già applicate.

Impatti professionali e strategici per gli auditor

La ISO/DIS 19011:2025 rappresenta, a fronte di una linea guida consolidata e che negli anni ha mostrato tutto il suo valore, un aggiornamento maturo e ben ponderato, che mantiene i principi consolidati dell’auditing integrando le esigenze contemporanee. La linea guida riconosce la trasformazione digitale, la crescente complessità delle catene di fornitura e l’importanza della componente ambientale, fornendo agli auditor strumenti e linee guida per affrontare efficacemente le sfide che si presentano in un processo di audit sempre più complesso.

L’aggiornamento della ISO 19011, nella versione ad oggi disponibile – UNI ISO/DIS 19011:2025 – riflette l’evoluzione del contesto in cui operano le organizzazioni moderne. Le principali implicazioni per i professionisti dell’audit includono:

  • formazione continua per garantire l’aggiornamento sulle tecnologie emergenti, volto ad una comprensione delle implicazioni delle tecnologie emergenti, e sui metodi di audit remoto;
  • flessibilità metodologica che si traduce nella capacità di combinare efficacemente metodi in sito e da remoto;
  • visione olistica tramite una maggiore e costante attenzione al contesto organizzativo nel suo insieme ed alla catena di fornitura in particolare;
  • sostenibilità considerando anche la componente di integrazione dei cambiamenti climatici nelle considerazioni di audit e la componente etica per quanto riguarda i beni o servizi acquistati o che si intende acquistare dalla catena di fornitura.

Con la pubblicazione prevista tra pochi mesi, le organizzazioni e i professionisti hanno il tempo necessario per prepararsi all’implementazione delle nuove disposizioni, garantendo una transizione efficace verso un approccio aggiornato e completo all’auditing dei sistemi di gestione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Monica Perego
Ingegnere, Gaiani Grinzato Avvocati
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • deepfake (1) Deepfake e diritto d'autore

  • la guida

    Difendersi dai deepfake: rischi, tecniche di verifica e prevenzione

    02 Apr 2025

    di Francesca Gaudino e Leonardo Lazzaro

    Condividi
  • codice condotta telemarketing obblighi call back e privacy

  • compliance

    Telemarketing: regole da seguire per evitare sanzioni nel "call back"

    24 Giu 2025

    di Sergio Aracu

    Condividi
  • cybersecurity (1) Data Security Posture Management AI nei SOC; sicurezza OT; fornitori servizi gestiti direttiva cer

  • strategie

    Cybersecurity potenziata: come l'AI trasforma i Security Operations Center

    07 Lug 2025

    di Mirko Casadei

    Condividi