|
|
MODALITÀ DI VALUTAZIONE DEGLI ITSMS AUDITOR / RESPONSABILI GRUPPO DI AUDIT |
|
INDICE
1.0 SCOPO E CAMPO DI APPLICAZIONE
2.0 RIFERIMENTI
3.0 PROCESSO DI VALUTAZIONE
4.0 ESAME
4.1 Requisiti di ammissione esame di certificazione
4.2 Finalità esame
4.3 Argomenti e modalità svolgimento esame
4.4 Criteri di valutazione
5.0 CERTIFICAZIONE
5.1 Rilascio del certificato
5.2 Passaggio di Registro (da ITSMS Auditor a Responsabile Gruppo di Audit)
***********************
1.0 SCOPO E CAMPO DI APPLICAZIONE
La presente procedura descrive le modalità operative adottate da CEPAS per l’attività di valutazione e certificazione degli Auditor (AUD) e dei Responsabili Gruppo di Audit (RGA) di Gestione dei Servizi IT.
La procedura si applica nei processi di certificazione delle figure professionali specificate che operano nell’ambito dei Sistemi di Gestione dei Servizi IT ed evidenzia le responsabilità delle diverse funzioni CEPAS coinvolte.
2.0 RIFERIMENTI
§ Riferimenti CEPAS per la certificazione degli Auditor e dei Responsabili Gruppo di Audit:
- Norma UNI CEI EN ISO/IEC 17024:2004
- IAF GD 24:2004 Guidance on the Application of ISO/IEC 17024:2003
- Manuale del Sistema di Gestione per la Qualità CEPAS, sez. 5 (MQ01)
- Schema di Certificazione CEPAS: Regolamento Generale CEPAS (RG01), Codice Deontologico (CD01), Prescrizioni per l’Uso del Marchio (MC01), Modulo richiesta ammissione esame/certificazione (MD08), Scheda Requisiti SH186 CEPAS e la presente procedura PG37
- RT 15 Sincert “Prescrizioni integrative per l’accreditamento degli Organismi di Certificazione del Personale (per la figura di Auditor di sistemi di gestione), in accordo alla norme ISO/IEC 17024:2003 e ISO 19011:2002”
§ Riferimenti normativi per la valutazione degli Audit:
- UNI EN ISO 19011:2003
- ISO/IEC 20000-1:2005 (o equivalente BS 15000-1:2002)
3.0 PROCESSO DI VALUTAZIONE
La valutazione di idoneità del Candidato, ai fini del rilascio della certificazione CEPAS, avviene attraverso la sequenza, temporale e vincolante, di ciascuna delle seguenti fasi:
§ valutazione preliminare della documentazione prodotta dal Candidato eseguita da CEPAS, che accerta il possesso o meno, da parte dello stesso, dei requisiti di cui alla Scheda XXXX; successivamente, il R.Q. effettua una ulteriore analisi documentale; nei casi dubbi, il Direttore può inoltre procedere a:
- richiesta di informazioni/documenti supplementari al candidato;
- accertamento, tramite invio di un Commissario appositamente incaricato, dell’attività svolta presso le aziende citate nella documentazione presentata.
CEPAS invia ai candidati che hanno presentato domanda di certificazione la seguente modulistica, realizzata in accordo con quanto definito dalla Linea Guida IAF GD 24:2004 sull’applicazione della norma ISO/IEC 17024:2003, contenente tutte le informazioni necessarie a CEPAS per verificare il possesso dei requisiti richiesti per la certificazione:
§ MD71: Modulo di registrazione audit ISO/IEC 20000-1:2005 (o equivalente BS 15000-1:2002)
§ MD71dich: Modulo fac simile lettera di referenze (per documentare esperienza lavorativa)
§ MD71dich_training: Moduli di registrazione audit condotti sotto la direzione e guida di Responsabili Gruppo di Audit certificati da OdC del Personale o qualificati da OdC di Sistema
La suddetta modulistica è considerata completa solo se corredata dai documenti indicati nei moduli stessi (es. rapporti di audit, curriculum e certificato valido del supervisore, ecc.).
ad esito positivo segue:
· esame di certificazione CEPAS, eseguito dalla Commissione di Esame a fronte di parametri e sulla base di strumenti prefissati, specificati nel paragrafo successivo;
ad esito positivo segue:
· valutazione tecnica dei risultati, di cui ai punti sopra indicati, eseguita dal Gruppo di Approvazione Settoriale CEPAS;
ad esito positivo segue:
· approvazione da parte del Direttore CEPAS;
ad esito positivo segue:
· ratifica da parte del Comitato di Certificazione / Comitato di Schema.
Qualora l’esito di una qualsiasi delle suddette fasi sia negativo, CEPAS interrompe il processo di valutazione e informa il Candidato che decide quindi se proseguire o meno nell’iter di certificazione. Per procedere nell’iter sarà necessario prima risolvere le carenze riscontrate nella singola fase, nei tempi indicati da CEPAS.
4.0 esame
4.1 Requisiti di ammissione esame di certificazione
Il Candidato che ha frequentato il corso di 40 ore ITSMS Auditor CEPAS è ammesso direttamente all’esame di certificazione.
Sono ammessi a sostenere l’esame CEPAS per ITSMS Auditor/Responsabili Gruppo di Audit tutti coloro che, avendo presentato formale richiesta attraverso il modulo MD08, documentano il possesso dei seguenti requisiti minimi, allegandoli al modulo e di cui alla Scheda 186:
· diploma di istruzione secondaria superiore o titolo superiore,
· copia documento d’identità valido,
· attestato di frequenza di un corso per ITSMS Auditor
· evidenze oggettive in merito alle conoscenze richieste dalla Norma UNI EN ISO 19011/2003
· evidenze oggettive in merito agli anni di esperienza lavorativa continuativa complessiva e agli anni di esperienza lavorativa specifica nel campo dell’ITSMS,
· evidenze oggettive in merito agli audit completi ISO/IEC 20000-1:2005 (o equivalente BS 15000-1:2002) validi a fini della certificazione,
· evidenze oggettive in merito agli audit completi effettuati sotto la direzione e guida di un Responsabile Gruppo di Audit,
· copia di: “Codice Deontologico” (CD01) e “Prescrizioni per l’uso del Marchio” (MC01), già in possesso del Candidato, firmati per accettazione delle procedure dell’intero iter di certificazione,
· regolare pagamento delle quote previste per l’ammissione agli esami come da tariffario CEPAS.
La documentazione completa per la richiesta di certificazione deve essere trasmessa a CEPAS entro 10 giorni lavorativi prima della data d’esame.
4.2 Finalità esame
L’esame ha lo scopo di:
- approfondire le informazioni presentate dal Candidato, nell’ambito della sua esperienza professionale, valutando l’adeguatezza della documentazione presentata e la sua congruenza con il/i settore/i di interesse indicato/i dal Candidato;
- accertare il possesso da parte del Candidato delle conoscenze tecniche e metodologiche necessarie a svolgere il ruolo di ITSMS Auditor o di Responsabile Gruppo di Audit. ai fini del rilascio della relativa Certificazione;
Rientrano tra tali conoscenze e abilità:
Area Auditing
· norma UNI EN ISO 19011:2003, ISO/IEC 20000-1:2005, ISO/IEC 20000-2:2005, e Prescrizioni SINCERT applicabili;
· Leggi e regolamenti cogenti applicabili con particolare riferimento alla tutela e riservatezza dei dati trattati da sistemi informatici
· tipologie di audit
· pianificazione dell’audit che deve prevedere:
o comunicazione con l’organizzazione sottoposta ad audit;
o documentazione dell’esame preliminare;
o esame della documentazione;
o selezione del team di audit;
o preparazione dell’audit e riunione del team.
· Cenni sulle finalità di audit preliminari
· Preparazione ed uso (con esempi di modulistica) di checklist durante le fasi di audit
· Preparazioni delle riunioni di audit, con esempi
· Contenuto, programma e conduzione delle riunioni di apertura e chiusura
· Comportamento dell’auditor nello svolgimento dell’audit, incluse le relazioni con l’azienda, l’importanza delle evidenze oggettive; rilevazione, redazione e comunicazione delle anomalie
· Criteri per la formulazione e metodologie per l’identificazione dei rilievi e loro classificazione
· Attività di follow-up
· Elementi di metrologia industriale, tecniche statistiche, tecniche affidabilistiche (“failure analysis”) applicabili al settore
· Differenze di ruolo fra Auditor e Responsabili Gruppo di Audit, nella gestione dell’audit e dei membri del team
· Schema di certificazione CEPAS per ITSMS auditor
· Codice deontologico CEPAS dell’auditor
Area Generale
· Elementi fondamentali della gestione dei servizi IT
· Terminologia dei servizi IT (cfr. Glossario ITSM)
· Introduzione alle norme:
o ISO/IEC 20000-1:2005 - Information technology - Service management - Part 1: Specification
o ISO/IEC 20000-2: 2005 Information Technology – Service management - Part 2: Code of practice
· Relazione tra le norme ISO/IEC 20000 ed ITIL (IT Infrastructure Library)
· Definizione degli scopi di certificazione
Area Sistema di Gestione
· Elementi generali dei Sistemi di Gestione dei Servizi IT:
o Responsabilità della Direzione (Politica, pianificazione generale, definizione di obiettivi, comunicazione interna/esterna, riesami periodici, gestione dei rischi)
o Controllo dei documenti e delle registrazioni
o Organizzazione – autorità e responsabilità
o Gestione delle risorse umane (competenze, consapevolezza e addestramento)
· Approccio per processi
· Metodologia PDCA (Plan-Do-Check-Act) applicata a: Sistema di gestione, processi e servizi.
o Identificazione e pianificazione dei processi per la gestione dei servizi
o Implementazione e gestione dei processi e dei servizi
o Monitoraggio del sistema di gestione, dei processi e dei servizi (internal audit e riesami da parte della Direzione)
o Miglioramento continuo: azioni correttive e preventive, programmi di miglioramento dei processi e dei servizi
Area Processi di Gestione dei servizi
· Pianificazione e implementazione di nuovi servizi o modifiche ai servizi esistenti
o Interazione con le attività di progettazione e sviluppo dei servizi
o Transizione dei nuovi servizi o delle modifiche in produzione
· Processi di erogazione dei servizi
o Gestione dei Livelli di servizio (definizione e monitoraggio)
o Rendicontazione del servizio
o Gestione della continuità del servizio
o Gestione della disponibilità del servizio
o Contabilità del servizio
o Gestione della capacità (delle risorse e delle infrastrutture)
o Gestione della tutela delle informazioni (Information Security)
· Processi di relazione
o Gestione della relazione con i clienti
o Gestione dei Fornitori
· Processi di risoluzione
o Gestione degli incidenti (interruzioni e riduzioni del servizio)
o Gestione dei problemi (rimozione delle cause degli incidenti)
· Processi di controllo
o Gestione della Configurazione (del servizio e delle infrastrutture)
o Gestione delle modifiche (al servizio ed alle infrastrutture)
o Processo di rilascio dei nuovi servizi e delle modifiche
L’esame è condotto dai Commissari d’esame CEPAS, nominati dal Presidente, i quali si accertano, attraverso opportune tecniche, che il Candidato possegga i requisiti e le caratteristiche personali utili allo svolgimento delle attività professionali per le quali richiede la certificazione. La Commissione definirà inoltre, in sede d’esame, l’idoneità allo svolgimento del ruolo richiesto, sulla base della documentazione prodotta e lo comunicherà al candidato al termine dell’esame (ITSMS Auditor oppure ITSMS Responsabile Gruppo di Audit).
I Commissari sono responsabili della valutazione delle prove d’esame del Candidato e per questo ne rispondono a CEPAS; per tutte le attività di valutazione i Commissari garantiscono indipendenza di giudizio, assenza di conflitto di interessi e riservatezza dei dati.
4.3 Argomenti e modalità svolgimento esame
L’esame CEPAS per ITSMS Auditor/Responsabili Gruppo di Audit si svolge nelle località e date stabilite, di volta in volta, dal Direttore il quale, con l’ausilio del personale dipendente, provvede a comunicarle a ciascun Candidato. Alla sessione d’esame CEPAS sono presenti i candidati, la Commissione d’esame e il personale CEPAS
Prima dell’inizio delle prove d’esame, i candidati sono tenuti a:
- esibire un documento di identità valido,
- firmare il foglio presenze,
- presentare la ricevuta degli avvenuti pagamenti delle quote previste per la partecipazione all’esame.
Argomenti
L’esame CEPAS consiste in:
- una prova scritta di carattere generale (conoscenza ed interpretazione delle norme ISO/IEC 20000-1:2005, UNI EN ISO 19011:2003);
- una prova orale (colloquio).
La prova scritta di carattere generale è volta ad accertare il possesso, da parte del Candidato, delle conoscenze tecniche necessarie a svolgere le attività relative alla domanda di Certificazione presentata. E’ composta da:
- un numero minimo di 30 domande, per le quali vengono fornite cinque risposte di cui una sola è sicuramente esatta. Per tale prova è previsto un tempo massimo di 60 minuti.
Durante l’intero svolgimento delle prove d’esame, il Candidato può consultare esclusivamente le Norme, in versione ufficiale o autorizzata, sempre in maniera individuale. La consultazione di documentazione differente (es. materiale didattico di corsi, interpretazioni della Norma, ecc.) e/o lo scambio di informazioni con altri candidati è causa di interruzione dell’esame stesso.
La prova orale (colloquio) è volta a:
- approfondire il livello di conoscenza degli elementi culturali di base di cui alla prova scritta,
- approfondire nell’ambito della esperienza professionale le informazioni presentate dal Candidato,
- valutare l’adeguatezza, l’estensione ed il grado di aggiornamento delle esperienze specifiche operative,
- verificare il modo di gestire i rapporti interpersonali del Candidato,
- valutare le caratteristiche personali previste dalla Norma di riferimento (UNI EN ISO 19011:2003 – par.7) in funzione del ruolo di Auditor o di Responsabile Gruppo di Audit,
- valutare la congruenza tra la richiesta di certificazione da parte del Candidato (nel ruolo di AUD o RGA) e lo Schema di Certificazione CEPAS,
Le due prove, nel loro insieme, sono finalizzate a verificare le conoscenze, le capacità applicative delle Norme ISO/IEC 20000 e UNI EN ISO 19011:2003, ed i requisiti personali dei candidati richiesti dalla norma UNI EN ISO 19011:2003 (par.7). La valutazione delle caratteristiche personali (rif. UNI EN ISO 19011 par.7) è condotta anche con l’ausilio di opportuni strumenti dedicati (colloquio, questionario ecc.).
I Commissari, al termine delle prove, comunicano a ciascun candidato l’esito della valutazione delle prove da essi effettuata. Il Personale CEPAS presente comunica, quindi, l’esito finale dell’esame al candidato, ricordandogli le fasi successive previste dallo schema di certificazione già in suo possesso.
4.4 Criteri di valutazione
La Commissione di Esame procede alla valutazione di idoneità del Candidato a fronte dei criteri e dei parametri di seguito specificati:
- la votazione massima ottenibile è di 80 punti, ed è data dalla sommatoria delle votazioni conseguite dal candidato nelle due prove d’esame.
- la valutazione complessiva è positiva se la somma delle votazioni ottenute nelle due prove (scritto e orale) raggiunge almeno 56 punti, tenendo comunque presente che deve essere anche superata la soglia minima fissata per la prova scritta, pari a 36 punti.
- la valutazione di idoneità al ruolo di Responsabile Gruppo di Audit è data dalle evidenze emerse durante la prova orale, in riferimento alla UNI EN ISO 19011:2003 (par.7.3.2).
* alla prova scritta di carattere generale, viene attribuita una votazione massima di 60 punti.
* alla prova orale, viene attribuita una votazione massima di 20 punti.
Se il candidato non supera la soglia di 36 punti nella prova scritta, non viene ammesso alla prova orale e dovrà ripetere l’intero esame (scritto e orale) trascorsi almeno 6 mesi dalla data dello stesso. Sono ammesse ulteriori ripetizioni dell’esame, anche prima dei 6 mesi, previo parere favorevole del Comitato di Certificazione. Ogni ripetizione comporta il pagamento della quota prevista dal tariffario vigente.
Il Candidato in possesso di tutti i requisiti richiesti viene proposto al Gruppo di Approvazione Settoriale e, ad esito positivo, da questo presentato al Direttore CEPAS per l’approvazione. Il Direttore, per i candidati ritenuti idonei, rilascia il Certificato, provvede all’iscrizione nell’apposito Registro e propone la ratifica al Comitato di Certificazione CEPAS.
5.0 CERTIFICAZIONE
5.1 Rilascio del certificato
Il Direttore, sulla base di tutta la documentazione relativa al Candidato e su eventuali indicazioni fornite dai Gruppi di Approvazione Settoriali, valuta l’eventuale necessità di chiedere ulteriori informazioni ai Responsabili delle Aziende presso cui, o per conto delle quali, il Candidato ha eseguito gli Audit. In tal caso, il Direttore stabilisce anche quali tempi e modalità siano necessari.
Ad esito positivo della valutazione e all’avvenuto pagamento della tariffa di iscrizione, il Direttore approva l’emissione del certificato e comunica il nominativo del Candidato ritenuto idoneo al Comitato di Certificazione / Comitato di Schema che ratifica la certificazione.
La notifica dell’ottenimento della certificazione, unitamente alle modalità per la consegna di certificato e timbro, vengono comunicate al Candidato dal Direttore CEPAS.
5.2 Passaggio di Registro (da ITSMS Auditor a ITSMS Responsabile Gruppo di Audit)
Il personale certificato CEPAS, in qualità di ITSMS Auditor può richiedere il rilascio del certificato come Responsabile Gruppo di Audit e l’iscrizione nel relativo registro, trascorsi almeno 12 mesi dalla prima iscrizione nel Registro.
La richiesta di passaggio richiede l’integrazione della documentazione prodotta per la prima certificazione, sulla base di quanto richiesto dalla Scheda requisiti CEPAS di riferimento, ed il pagamento della quota secondo tariffario.
La valutazione di idoneità del Candidato avviene attraverso la sequenza, temporale e vincolante, di ciascuna delle seguenti fasi:
· valutazione preliminare della documentazione prodotta dal Candidato eseguita da CEPAS, che accerta il possesso o meno, da parte dello stesso, dei requisiti per il passaggio di Registro, di cui alla Scheda SH186; successivamente, il R.Q. effettua una ulteriore analisi documentale; nei casi dubbi, il Direttore può inoltre procedere a:
- richiesta di informazioni/documenti supplementari al candidato;
- accertamento, tramite invio di un Commissario appositamente incaricato, dell’attività svolta presso le aziende citate nella documentazione presentata,
- invitare il Candidato per un colloquio di approfondimento.
ad esito positivo segue:
· valutazione di idoneità della documentazione, di cui ai punti sopra indicati, eseguita dal Gruppo di Approvazione Settoriale CEPAS; il Gruppo di Approvazione Settoriale si riserva inoltre di valutare la congruenza tra la documentazione presentata dal Candidato e la proposta di passaggio di registro;
ad esito positivo segue:
· approvazione da parte del Direttore CEPAS
ad esito positivo segue:
· ratifica da parte del Comitato di Certificazione / Comitato di Schema CEPAS
Qualora l’esito di una qualsiasi delle suddette fasi sia negativo e/o il Candidato non corrisponda la quota prevista dal tariffario, CEPAS interrompe il processo di valutazione e informa il Candidato che decide quindi se proseguire o meno nell’iter di passaggio di registro. Per procedere nell’iter sarà necessario prima risolvere le carenze riscontrate nella singola fase, nei tempi indicati da CEPAS.
CEPAS infine provvederà all’aggiornamento dei relativi registri e all’emissione del nuovo certificato e timbro, chiedendo la restituzione di quelli superati. Il passaggio di Registro non comporta la variazione della data di scadenza triennale.
|
Torna all'Home Page |