Audit di prima, seconda e terza parte: differenze e quando usarli
Nella pratica aziendale la parola "audit" viene spesso usata come se fosse un termine univoco. In realtà, a seconda di chi esegue l'audit e del rapporto che ha con l'organizzazione auditata, cambia non solo il valore tecnico del controllo ma anche quello legale, contrattuale e reputazionale. La norma ISO 19011, che da anni è il riferimento internazionale per la conduzione degli audit sui sistemi di gestione, distingue tre tipologie: audit di prima parte, audit di seconda parte, audit di terza parte. Questa nota prova a metterle in ordine, con qualche riferimento pratico al mondo retail, GDO e HoReCa in cui lavoriamo.
Audit di prima parte: il controllo interno
L'audit di prima parte è l'autovalutazione. L'organizzazione conduce un audit su sé stessa, tipicamente attraverso il proprio responsabile qualità, un internal auditor accreditato internamente o una funzione di compliance. Serve a verificare la conformità dei processi aziendali rispetto a uno standard — un proprio manuale qualità, un sistema ISO 9001, una policy HACCP interna. Il valore aggiunto è alto nei momenti di messa a punto dei processi e come preparazione a un audit esterno; il limite è strutturale, perché un'organizzazione che si valuta da sola tende ad avere punti ciechi, non per cattiva fede ma perché chi costruisce il processo è spesso lo stesso che lo audita.
Nel retail, un audit di prima parte tipico è quello del district manager che gira i propri punti vendita con una check-list aziendale. È utile per l'operatività quotidiana e per la cultura interna, ma non ha valore difensivo né verso l'autorità pubblica né verso un cliente esterno.
Audit di seconda parte: il controllo eseguito per conto di un committente
L'audit di seconda parte è quello condotto da un soggetto per conto di chi ha un interesse legittimo sull'organizzazione auditata. Il caso più classico è l'audit che un'insegna della GDO commissiona su un proprio fornitore, oppure l'audit che una multinazionale fa svolgere sui propri punti vendita in franchising, oppure ancora l'audit che un brand commissiona per verificare la corretta esecuzione del trade marketing nei PV della rete distributiva.
Il valore dell'audit di seconda parte sta nel fatto che chi lo commissiona e chi lo subisce sono soggetti diversi, con interessi non coincidenti, e l'ente che esegue l'audit è un terzo operatore specializzato. Non c'è l'indipendenza formale dell'audit di terza parte certificativa, ma c'è un'indipendenza sufficiente a produrre un dato difendibile. Easy Audit opera esclusivamente come audit di seconda parte: il nostro cliente è il committente dell'audit, il PV auditato è il soggetto passivo, i nostri auditor sono il terzo soggetto neutrale.
La tipologia di seconda parte è quella più adatta quando serve un dato operativo, frequente, orientato alla decisione — tipicamente l'esecuzione in PV, la conformità HACCP, lo stato dello stock, la qualità del servizio — senza però volere o potere passare per un ente di certificazione accreditato.
Audit di terza parte: la certificazione
L'audit di terza parte è quello svolto da un ente di certificazione accreditato, indipendente sia dall'organizzazione auditata sia da chi ha un interesse diretto su di essa. L'output dell'audit di terza parte è tipicamente una certificazione: ISO 9001 per i sistemi qualità, ISO 14001 per l'ambiente, ISO 22000 per la sicurezza alimentare, ISO 45001 per la salute e sicurezza sul lavoro, BRC e IFS per l'agroalimentare, e molti altri standard settoriali.
Il valore dell'audit di terza parte è contrattuale, normativo e reputazionale: serve a dimostrare a un ente terzo — cliente, autorità, partner — che l'organizzazione rispetta uno standard riconosciuto. È un audit più pesante, più strutturato, con tempistiche più lunghe, condotto da auditor accreditati iscritti in albi ufficiali. Non è una tipologia che Easy Audit eroga: per una certificazione di terza parte servono enti come DNV, RINA, Bureau Veritas, SGS.
Tre livelli di rigore, tre costi diversi
La scelta della tipologia di audit dipende essenzialmente da due variabili: il grado di indipendenza richiesto dall'obiettivo dell'audit e il costo che si è disposti a sostenere per audit. L'audit di prima parte ha il costo più basso in valore assoluto perché utilizza risorse interne, ma ha il costo opportunità più alto perché impegna professionisti aziendali in un'attività di controllo invece che in un'attività produttiva. L'audit di seconda parte ha un costo variabile per audit pagato a un vendor specializzato, è molto più efficiente per numeri alti di punti auditati e garantisce una neutralità sufficiente. L'audit di terza parte ha il costo unitario più alto ma restituisce una certificazione formalmente riconosciuta, che in molti casi è il prerequisito per accedere a mercati, bandi o fornitori.
Nella maggior parte dei contesti retail e HoReCa il mix efficiente è: audit di prima parte continuativi per la cultura interna e l'operatività, audit di seconda parte periodici come misura indipendente della realtà di campo, audit di terza parte per ottenere le certificazioni necessarie al posizionamento di mercato.
Il ruolo della norma ISO 19011
La norma ISO 19011 "Linee guida per audit di sistemi di gestione" è il riferimento metodologico comune a tutte e tre le tipologie. Definisce come pianificare, eseguire e documentare un audit, come selezionare e valutare gli auditor, come gestire i risultati e le azioni correttive. Non è una norma certificabile — nessuno si certifica ISO 19011 — ma è lo standard a cui dovrebbero fare riferimento tutti i sistemi di audit interni e di seconda parte ben costruiti. Un capitolato di audit che non richiami esplicitamente ISO 19011 è, nella maggior parte dei casi, un capitolato artigianale.
Quando Easy Audit è la risposta giusta
Easy Audit è il servizio adatto quando il committente ha bisogno di un audit di seconda parte: operativo, replicabile, frequente, documentato con prove fotografiche e scoring AI, condotto da una rete indipendente su un perimetro ampio di PV. È la forma tipica con cui un brand verifica l'esecuzione a scaffale, un retailer controlla il rispetto HACCP nei propri PV, una catena in franchising misura la conformità dei suoi affiliati, una multinazionale fa eseguire i propri standard interni sul territorio italiano. Non è la risposta giusta se il committente ha bisogno di una certificazione ISO di terza parte — in quel caso deve rivolgersi a un ente accreditato — né se l'obiettivo è un audit interno con risorse proprie.
Come si scrive un buon capitolato di audit di seconda parte
Un capitolato di audit di seconda parte ben fatto tiene insieme quattro elementi. Il primo è il riferimento normativo o contrattuale rispetto a cui si misura la conformità — un manuale HACCP, un planogramma, un accordo commerciale, una policy. Il secondo è la check-list operativa tradotta in voci misurabili, con range ammessi e classi di non-conformità. Il terzo è la definizione di chi può essere auditor per quel capitolato, con i requisiti minimi di formazione e di esperienza. Il quarto è la gestione del ciclo di chiusura: chi riceve il report, chi decide le azioni correttive, qual è il follow-up. Sembra banale ma la maggior parte dei capitolati che vediamo arrivare in prima chiamata manca di uno di questi quattro.
Il takeaway
Prima parte, seconda parte, terza parte non sono sinonimi e non sono intercambiabili. Capire in quale tipologia si colloca un audit è il primo passo per valutare se quello che si sta misurando ha un valore reale. Nel retail, nella GDO e nell'HoReCa la maggior parte dei bisogni operativi di controllo ricade nell'audit di seconda parte: è lì che si gioca la partita dell'esecuzione, ed è lì che un servizio come Easy Audit nasce per portare metodo e tecnologia. Le altre due tipologie restano necessarie, ma coprono obiettivi diversi.