ISO/DIS 19011:2025 – Come cambiano le tecniche di audit

La bozza UNI ISO/DIS 19011:2025 (versione redline) segna un passaggio importante nell’evoluzione degli audit dei sistemi di gestione.
Sebbene si tratti ancora di un Draft International Standard e, quindi, di un testo suscettibile di ulteriori modifiche, le direttrici metodologiche sono ormai chiare e delineano un cambio di paradigma rispetto all’edizione 2018.

Il messaggio di fondo è inequivocabile: l’audit diventa meno prescrittivo e più analitico, meno formale e più sostanziale, più flessibile e decisamente più orientato al rischio, ai processi e alle prestazioni reali dell’organizzazione.

Vediamo quali sono i principali cambiamenti che incidono direttamente sulle tecniche di audit.

Uno degli aspetti più evidenti riguarda la piena integrazione delle tecniche di audit a distanza.
Se nella ISO 19011:2018 l’audit remoto era ammesso ma spesso percepito come una soluzione alternativa o do emergenza, nel DIS 2025 diventa una modalità strutturata, pianificabile e pienamente legittimata.

La norma riconosce che un audit efficace può essere condotto in campo, da remoto oppure in modalità ibrida. La scelta non dipende dalla comodità organizzativa, ma dalla coerenza con obiettivi, campo di applicazione e rischi.

Interviste online strutturate, osservazioni del lavoro tramite strumenti digitali, riesame documentale condiviso in cloud, utilizzo di piattaforme collaborative e analisi di dati senza interazione diretta diventano tecniche normali, non eccezioni tollerate.

L’attenzione si sposta quindi dal “dove” al “come”: non conta il luogo fisico, ma l’adeguatezza del metodo scelto.

Un altro elemento importante della nuova versione della norma, riguarda il rafforzamento dell’approccio risk-based.

Quando si parla di “rafforzamento dell’approccio risk-based” nella nuova ISO 19011:2025, in sostanza si sta dicendo che l’audit non deve più trattare tutto allo stesso modo. Il rischio diventa il criterio che guida non solo cosa andare a controllare, ma anche come farlo.

Nella versione precedente della norma il rischio era già considerato, ma soprattutto per decidere quali aree fossero più importanti. Oggi il passo in più è questo: se una cosa è più rischiosa, allora cambia proprio il modo in cui la verifichi. Non basta dire “questa area è critica”, bisogna dedicarle più tempo, più profondità, tecniche più mirate.

Questo si traduce in scelte molto concrete. Il campionamento, per esempio, non è più una quantità standard di documenti o registrazioni da controllare “per sicurezza”. Diventa una decisione ragionata: dove il rischio è alto si guarda di più e più in profondità; dove è basso si può essere più leggeri. E se durante l’audit emerge qualcosa di inatteso, si può cambiare direzione e approfondire. Non si resta bloccati su un piano deciso a tavolino.

Anche la profondità delle verifiche cambia in funzione della criticità del processo. Un’attività che può generare impatti importanti sulla sicurezza, sulla qualità, sulla conformità legale o sulla soddisfazione del cliente merita un’analisi più accurata rispetto a un’attività marginale. È una questione di buon senso, ma ora questo buon senso diventa parte esplicita del metodo.

Lo stesso vale per l’uso del tempo. Un audit ha sempre risorse limitate. La nuova impostazione dice chiaramente che quel tempo va investito dove può produrre valore informativo reale. Non serve controllare in modo identico ogni requisito, solo per poter dire di averli “coperti tutti”. Serve invece capire dove il sistema potrebbe davvero fallire e concentrare lì l’attenzione.

Per questo si riduce progressivamente l’approccio basato su checklist rigide e sequenziali. Non significa che le checklist spariscano, ma non sono più il centro dell’audit. L’auditor non deve comportarsi come qualcuno che spunta caselle una dopo l’altra, bensì come una persona che segue il processo dall’inizio alla fine, osserva come le funzioni interagiscono, fa domande mirate e collega le informazioni tra loro.

La ISO/DIS 19011:2025 ribadisce con forza che l’audit di un sistema di gestione non è la semplice somma di controlli sui requisiti normativi.
È, prima di tutto, un’analisi dei processi e delle loro interazioni.

In coerenza con la struttura HLS, le tecniche si orientano verso il process tracing, la verifica di input e output, l’analisi dei flussi trasversali e delle responsabilità condivise. Le interviste non mirano più a dimostrare la conformità formale, ma a comprendere come il sistema funziona realmente.

Anche l’osservazione operativa assume un ruolo più strategico: diventa uno strumento per cogliere la variabilità, le criticità e le connessioni tra attività.

L’audit avverrà con un approccio sistemico e integrato.

Un altro cambiamento significativo riguarda il concetto stesso di evidenza di audit.
La bozza 2025 amplia il perimetro includendo esplicitamente dati, informazioni digitali ed evidenze non tradizionali, purché affidabili e verificabili.

Non si tratta più solo di controllare l’esistenza di documenti o registrazioni, ma di interpretare indicatori, analizzare trend, valutare KPI, leggere dashboard e sistemi informativi.

L’auditor è chiamato a esercitare un giudizio critico sulla qualità delle informazioni, sulla coerenza dei dati e sulla loro significatività rispetto agli obiettivi dell’audit.

È un passaggio culturale importante: l’audit non verifica soltanto la conformità, ma valuta le prestazioni e la capacità del sistema di produrre risultati.

Il DIS 2025 introduce in modo esplicito il tema delle tecnologie emergenti, inclusi strumenti basati su intelligenza artificiale.

L’uso di tali strumenti può supportare l’analisi documentale, il pre-screening delle evidenze o il campionamento. Tuttavia, la norma è chiara: l’AI non sostituisce il giudizio professionale dell’auditor.

Al contrario, ne rafforza la responsabilità. Le tecnologie diventano un aiuto, non un mezzo che prende decisioni al posto dell’auditor. Questo implica nuove competenze: l’auditor deve comprendere opportunità, limiti e rischi associati agli strumenti digitali avanzati.

Tra i cambiamenti più interessanti vi è l’EVOLUZIONE DEL CONCETTO DI CAMPIONAMENTO.
Il campione non è più una scelta pratica o numerica, ma una decisione metodologica strettamente collegata al rischio, agli obiettivi dell’audit e al livello di fiducia richiesto nelle conclusioni.

Campioni più piccoli ma mirati, scelte motivate, possibilità di adattare il campione in corso d’audit quando emergono nuovi elementi: la qualità prevale sulla quantità.

Per approfondire questo tema in chiave formativa e metodologica, rimandiamo all’articolo pubblicato nell’editoriale “Tutto nella Norma” Num. 2 2026:

• “Nuova ISO 19011: il campionamento come ‘pescatore esperto’ e non come ‘rete a strascico’ ”

Un contributo che esplora in modo metaforico ma rigoroso il significato di un campionamento consapevole e professionale.

Infine, la norma riconosce esplicitamente la possibilità di utilizzare metodi di audit alternativi o innovativi, inclusi, in ambito nazionale, richiami a pratiche come il mystery audit.

Si amplia così il perimetro metodologico, favorendo approcci più orientati all’esperienza del servizio, all’osservazione del comportamento reale e alla valutazione concreta delle performance.

L’audit si avvicina sempre più alla quotidianità dell’organizzazione.

Il passaggio dalla ISO 19011:2018 alla futura ISO 19011:2025 non è solo un aggiornamento tecnico, ma un’evoluzione culturale.

Si passa da audit checklist-centrici a metodologie risk-based e process-oriented; da verifiche prevalentemente in campo a modelli ibridi e digitali; da evidenze documentali a dati, processi e risultati; da tecniche standard a tecniche adattive.

E soprattutto cambia il ruolo dell’auditor.

Non più semplice esecutore di controlli, ma analista, valutatore e interprete del sistema di gestione.